¿Qué hacer ante Cloudflare?

Actualizado: jul 1


Cloudflare es un proveedor de firewall de aplicaciones web (WAF) ampliamente utilizado alrededor del mundo. Cloudflare se encuentra entre usted y el servidor original de la aplicación web, por lo tanto, cualquier payload que intente ejecutar en la página pasa por éste y como es de esperar, lo bloquea.

No importa si eres bug hunter o pentester, es obvio que puede ser muy interesante deshacerse del firewall. Para eso, básicamente hay 3 opciones:

  1. Debe entender qué reglas tiene establecidas el WAF; personalizar sus payloads para evitar las reglas vigentes y poder bypassearlo. Puede probar los payloads disponibles en PayloadsAllTheThings en caso de que no querer analizarlo manualmente o no tener tanto tiempo.



  1. Puede modificar las solicitudes de manera adecuada para interrumpir el servidor y estudiar su comportamiento. Al igual que la primera opción, puede llevar mucho tiempo, requiere paciencia y buenas habilidades de fuzzing. Soroush Dalili, cuenta con un presentación donde habla mas de este punto.

  2. Probablemente la opción más fácil, ya que no se requieren habilidades técnicas y también es parte del proceso de reconocimiento, es buscar la dirección ip de origen del servidor web para poder rodear a Cloudfare.