Cloudflare Security

In 'n Cloudflare rekening is daar 'n paar generiese instellings en dienste wat gekonfigureer kan word. Op hierdie bladsy gaan ons die veiligheid verwante instellings van elke afdeling analiseer:

Webwerwe

Herbekyk elkeen met:

Domein Registrasie

• In Transfer Domains kyk dat dit nie moontlik is om enige domein oor te dra nie.

Herbekyk elkeen met:

Analise

Ek kon niks vind om vir 'n konfigurasie sekuriteits hersiening te kontroleer nie.

Bladsye

Op elke Cloudflare se bladsy:

• Kyk vir sensitiewe inligting in die Build log.

• Kyk vir sensitiewe inligting in die Github repository wat aan die bladsye toegeken is.

• Kyk vir potensiële github repo kompromie via workflow command injection of pull_request_target kompromie. Meer inligting in die Github Sekuriteit bladsy.

• Kyk vir kwesbare funksies in die /fuctions gids (indien enige), kyk die omleidings in die _redirects lêer (indien enige) en misgeconfigureerde koptekste in die _headers lêer (indien enige).

• Kyk vir kwesbaarhede in die web bladsy via blackbox of whitebox as jy die kode kan toegang.

• In die besonderhede van elke bladsy /<page_id>/pages/view/blocklist/settings/functions. Kyk vir sensitiewe inligting in die Environment variables.

• In die besonderhede bladsy kyk ook die build command en root directory vir potensiële inspuitings om die bladsy te kompromitteer.

Werkers

Op elke Cloudflare se werker kyk:

• Die triggers: Wat maak die werker ontketen? Kan 'n gebruiker data stuur wat deur die werker gebruik sal word?

• In die Settings, kyk vir Variables wat sensitiewe inligting bevat.

• Kyk die kode van die werker en soek vir kwesbaarhede (veral in plekke waar die gebruiker die invoer kan bestuur).

• Kyk vir SSRFs wat die aangeduide bladsy teruggee wat jy kan beheer.

• Kyk vir XSSs wat JS binne 'n svg beeld uitvoer.

• Dit is moontlik dat die werker met ander interne dienste interaksie het. Byvoorbeeld, 'n werker kan met 'n R2 emmer interaksie hê wat inligting daarin stoor wat van die invoer verkry is. In daardie geval sal dit nodig wees om te kyk watter vermoëns die werker oor die R2 emmer het en hoe dit misbruik kan word vanaf die gebruikersinvoer.

R2

Op elke R2 emmer kyk:

• Konfigureer CORS Beleid.

Stroom

TODO

Beelde

TODO

Sekuriteit Sentrum

• As moontlik, voer 'n Security Insights skandering en 'n Infrastructure skandering uit, aangesien dit interessante inligting veiligheid wys.

• Kyk net na hierdie inligting vir sekuriteit misconfigurasies en interessante inligting.

Turnstile

TODO

Zero Trust

Massiewe Omleidings

• Kyk dat die uitdrukkings en vereistes vir omleidings sinvol is.

• Kyk ook vir sensitiewe verborge eindpunte wat jy interessante inligting bevat.

Kennisgewings

• Kyk die kennisgewings. Hierdie kennisgewings word aanbeveel vir sekuriteit:

• Usage Based Billing

• HTTP DDoS Aanval Waarskuwing

• Laag 3/4 DDoS Aanval Waarskuwing

• Geavanceerde HTTP DDoS Aanval Waarskuwing

• Geavanceerde Laag 3/4 DDoS Aanval Waarskuwing

• Stroom-gebaseerde Monitering: Volumetriese Aanval

• Roete Lek Detectie Waarskuwing

• Toegang mTLS Sertifikaat Vervaldatum Waarskuwing

• SSL vir SaaS Aangepaste Gasheername Waarskuwing

• Universale SSL Waarskuwing

• Script Monitor Nuwe Kode Verandering Detectie Waarskuwing

• Script Monitor Nuwe Domein Waarskuwing

• Script Monitor Nuwe Kwaadwillige Domein Waarskuwing

• Script Monitor Nuwe Kwaadwillige Skrip Waarskuwing

• Script Monitor Nuwe Kwaadwillige URL Waarskuwing

• Script Monitor Nuwe Skripte Waarskuwing

• Script Monitor Nuwe Skrip Oorskry Maks URL Lengte Waarskuwing

• Geavanceerde Sekuriteit Gebeure Waarskuwing

• Sekuriteit Gebeure Waarskuwing

• Kyk al die bestemmings, aangesien daar sensitiewe inligting (basiese http auth) in webhook urls kan wees. Maak ook seker dat webhook urls HTTPS gebruik.

• As ekstra kontrole, kan jy probeer om 'n cloudflare kennisgewing na 'n derde party te verpersoonlik, miskien kan jy op een of ander manier iets gevaarliks inspuit.

Bestuur Rekening

• Dit is moontlik om die laaste 4 syfers van die kredietkaart, verval tyd en faktuur adres in Billing -> Payment info te sien.

• Dit is moontlik om die plan tipe wat in die rekening gebruik word in Billing -> Subscriptions te sien.

• In Members is dit moontlik om al die lede van die rekening en hul rol te sien. Let daarop dat as die plan tipe nie Enterprise is nie, slegs 2 rolle bestaan: Administrateur en Super Administrateur. Maar as die gebruikte plan Enterprise is, kan meer rolle gebruik word om die minste voorregte beginsel te volg.

• Daarom, wanneer moontlik, word dit aanbeveel om die Enterprise plan te gebruik.

• In Lede is dit moontlik om te kyk watter lede 2FA geaktiveer het. Elke gebruiker moet dit geaktiveer hê.

DDoS Ondersoek

Kyk hierdie deel.