Cloudflare Security

在 Cloudflare 账户中，有一些 常规设置和服务 可以进行配置。在此页面中，我们将 分析每个部分的安全相关设置：

网站

逐一检查：

域名注册

• 在 转移域名 中检查是否无法转移任何域名。

逐一检查：

分析

我找不到任何可以检查配置安全审查的内容。

页面

在每个 Cloudflare 页面上：

• 检查 构建日志 中的 敏感信息。

• 检查分配给页面的 Github 仓库 中的 敏感信息。

• 检查通过 工作流命令注入 或 pull_request_target 可能导致的 GitHub 仓库泄露。更多信息请参见 Github 安全页面。

• 检查 /fuctions 目录中的 脆弱函数（如果有），检查 _redirects 文件中的 重定向（如果有）和 _headers 文件中的 错误配置的头部（如果有）。

• 通过 黑箱 或 白箱 检查 网页 中的 漏洞，如果您可以 访问代码。

• 在每个页面的详细信息 /<page_id>/pages/view/blocklist/settings/functions 中检查 环境变量 中的 敏感信息。

• 在详细信息页面中，还要检查 构建命令 和 根目录 以查找 潜在注入 以危害页面。

Workers

在每个 Cloudflare 的 worker 上检查：

• 触发器：是什么使 worker 触发？用户是否可以发送将被 worker 使用 的数据？

• 在 设置 中，检查包含 敏感信息 的 变量。

• 检查 worker 的代码 并搜索 漏洞（特别是在用户可以管理输入的地方）。

• 检查 SSRFs 返回您可以控制的指定页面。

• 检查 XSS 在 svg 图像内执行 JS。

• worker 可能与其他内部服务交互。例如，worker 可能与存储从输入中获得的信息的 R2 存储桶交互。在这种情况下，需要检查 worker 对 R2 存储桶的能力以及如何可能被用户输入滥用。

R2

在每个 R2 存储桶上检查：

• 配置 CORS 策略。

流

TODO

图像

TODO

安全中心

• 如果可能，运行 安全洞察 扫描 和 基础设施 扫描，因为它们将 突出 有趣的信息 安全 方面。

• 仅检查此信息以查找安全错误配置和有趣的信息。

Turnstile

TODO

零信任

批量重定向

• 检查 重定向的表达式 和 要求 是否 合理。

• 还要检查 敏感隐藏端点，其中可能包含有趣的信息。

通知

• 检查 通知。这些通知建议用于安全：

• 基于使用的计费

• HTTP DDoS 攻击警报

• 第 3/4 层 DDoS 攻击警报

• 高级 HTTP DDoS 攻击警报

• 高级第 3/4 层 DDoS 攻击警报

• 基于流量的监控：体积攻击

• 路由泄漏检测警报

• 访问 mTLS 证书到期警报

• SaaS 自定义主机名的 SSL 警报

• 通用 SSL 警报

• 脚本监控新代码更改检测警报

• 脚本监控新域名警报

• 脚本监控新恶意域名警报

• 脚本监控新恶意脚本警报

• 脚本监控新恶意 URL 警报

• 脚本监控新脚本警报

• 脚本监控新脚本超出最大 URL 长度警报

• 高级安全事件警报

• 安全事件警报

• 检查所有 目的地，因为 webhook URL 中可能存在 敏感信息（基本 http 身份验证）。确保 webhook URL 使用 HTTPS。

• 作为额外检查，您可以尝试 冒充 Cloudflare 通知 给第三方，也许您可以以某种方式 注入一些危险的东西。

管理账户

• 可以在 计费 -> 支付信息 中查看 信用卡的最后 4 位数字、到期 时间和 账单地址。

• 可以在 计费 -> 订阅 中查看账户中使用的 计划类型。

• 在 成员 中，可以查看账户的所有成员及其 角色。请注意，如果计划类型不是企业版，则仅存在 2 个角色：管理员和超级管理员。但如果使用的 计划是企业版，则可以使用 更多角色 来遵循最小权限原则。

• 因此，尽可能 建议 使用 企业计划。

• 在成员中，可以检查哪些 成员 启用了 2FA。每个 用户都应该启用它。

DDoS 调查

检查此部分。