Cloudflare Security

Σε έναν λογαριασμό Cloudflare υπάρχουν κάποιες γενικές ρυθμίσεις και υπηρεσίες που μπορούν να ρυθμιστούν. Σε αυτή τη σελίδα θα αναλύσουμε τις ρυθμίσεις που σχετίζονται με την ασφάλεια κάθε ενότητας:

Websites

Ελέγξτε κάθε μία με:

Domain Registration

• Στο Transfer Domains ελέγξτε ότι δεν είναι δυνατή η μεταφορά οποιουδήποτε τομέα.

Ελέγξτε κάθε μία με:

Analytics

Δεν μπόρεσα να βρω τίποτα για να ελέγξω για ανασκόπηση ασφάλειας ρυθμίσεων.

Pages

Σε κάθε σελίδα του Cloudflare:

• Ελέγξτε για ευαίσθητες πληροφορίες στο Build log.

• Ελέγξτε για ευαίσθητες πληροφορίες στο Github repository που έχει ανατεθεί στις σελίδες.

• Ελέγξτε για πιθανή παραβίαση του github repo μέσω workflow command injection ή παραβίαση pull_request_target. Περισσότερες πληροφορίες στη σελίδα ασφάλειας Github.

• Ελέγξτε για ευάλωτες λειτουργίες στον φάκελο /fuctions (αν υπάρχουν), ελέγξτε τις ανακατευθύνσεις στο αρχείο _redirects (αν υπάρχουν) και τις κακώς ρυθμισμένες κεφαλίδες στο αρχείο _headers (αν υπάρχουν).

• Ελέγξτε για ευπάθειες στη σελίδα μέσω blackbox ή whitebox αν μπορείτε να έχετε πρόσβαση στον κώδικα.

• Στις λεπτομέρειες κάθε σελίδας /<page_id>/pages/view/blocklist/settings/functions. Ελέγξτε για ευαίσθητες πληροφορίες στις Environment variables.

• Στη σελίδα λεπτομερειών ελέγξτε επίσης την εντολή κατασκευής και τον ριζικό φάκελο για πιθανές εισβολές που θα μπορούσαν να παραβιάσουν τη σελίδα.

Workers

Σε κάθε worker του Cloudflare ελέγξτε:

• Τα triggers: Τι προκαλεί την ενεργοποίηση του worker; Μπορεί ένας χρήστης να στείλει δεδομένα που θα χρησιμοποιηθούν από τον worker;

• Στις Settings, ελέγξτε για Variables που περιέχουν ευαίσθητες πληροφορίες.

• Ελέγξτε τον κώδικα του worker και αναζητήστε ευπάθειες (ιδιαίτερα σε μέρη όπου ο χρήστης μπορεί να διαχειριστεί την είσοδο).

• Ελέγξτε για SSRFs που επιστρέφουν τη δηλωμένη σελίδα που μπορείτε να ελέγξετε.

• Ελέγξτε XSSs που εκτελούν JS μέσα σε μια εικόνα svg.

• Είναι πιθανό ο worker να αλληλεπιδρά με άλλες εσωτερικές υπηρεσίες. Για παράδειγμα, ένας worker μπορεί να αλληλεπιδρά με έναν R2 bucket που αποθηκεύει πληροφορίες που αποκτώνται από την είσοδο. Σε αυτή την περίπτωση, θα ήταν απαραίτητο να ελέγξετε ποιες δυνατότητες έχει ο worker πάνω στον R2 bucket και πώς θα μπορούσε να καταχραστεί από την είσοδο του χρήστη.

R2

Σε κάθε R2 bucket ελέγξτε:

• Ρυθμίστε την CORS Policy.

Stream

TODO

Images

TODO

Security Center

• Αν είναι δυνατόν, εκτελέστε μια σάρωση Security Insights και μια σάρωση Infrastructure, καθώς θα τονίσουν ενδιαφέρουσες πληροφορίες σχετικά με την ασφάλεια.

• Απλώς ελέγξτε αυτές τις πληροφορίες για κακώς ρυθμισμένες ρυθμίσεις ασφάλειας και ενδιαφέρουσες πληροφορίες.

Turnstile

TODO

Zero Trust

Bulk Redirects

• Ελέγξτε ότι οι εκφράσεις και οι απαιτήσεις για τις ανακατευθύνσεις έχουν νόημα.

• Ελέγξτε επίσης για ευαίσθητους κρυφούς προορισμούς που περιέχουν ενδιαφέρουσες πληροφορίες.

Notifications

• Ελέγξτε τις ειδοποιήσεις. Αυτές οι ειδοποιήσεις συνιστώνται για την ασφάλεια:

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• Ελέγξτε όλους τους προορισμούς, καθώς μπορεί να υπάρχουν ευαίσθητες πληροφορίες (basic http auth) σε διευθύνσεις webhook. Βεβαιωθείτε επίσης ότι οι διευθύνσεις webhook χρησιμοποιούν HTTPS.

• Ως επιπλέον έλεγχος, μπορείτε να προσπαθήσετε να παριστάνετε μια ειδοποίηση cloudflare σε τρίτο μέρος, ίσως μπορείτε κάπως να εισάγετε κάτι επικίνδυνο.

Manage Account

• Είναι δυνατόν να δείτε τα τελευταία 4 ψηφία της πιστωτικής κάρτας, τον χρόνο λήξης και τη διεύθυνση χρέωσης στο Billing -> Payment info.

• Είναι δυνατόν να δείτε τον τύπο σχεδίου που χρησιμοποιείται στον λογαριασμό στο Billing -> Subscriptions.

• Στο Members είναι δυνατόν να δείτε όλα τα μέλη του λογαριασμού και τον ρόλο τους. Σημειώστε ότι αν ο τύπος σχεδίου δεν είναι Enterprise, υπάρχουν μόνο 2 ρόλοι: Διαχειριστής και Υπερδιαχειριστής. Αλλά αν το χρησιμοποιούμενο σχέδιο είναι Enterprise, περισσότεροι ρόλοι μπορούν να χρησιμοποιηθούν για να ακολουθήσουν την αρχή της ελάχιστης προνομίας.

• Επομένως, όποτε είναι δυνατόν, συνιστάται να χρησιμοποιείτε το Enterprise plan.

• Στα μέλη είναι δυνατόν να ελέγξετε ποια μέλη έχουν 2FA ενεργοποιημένο. Κάθε χρήστης θα πρέπει να το έχει ενεργοποιημένο.

DDoS Investigation

Check this part.