Cloudflare Security

Dans un compte Cloudflare, il y a certains paramètres généraux et services qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :

Sites Web

Examinez chacun avec :

Enregistrement de domaine

• Dans Transférer des domaines, vérifiez qu'il n'est pas possible de transférer un domaine.

Examinez chacun avec :

Analytique

Je n'ai rien trouvé à vérifier pour un examen de sécurité de configuration.

Pages

Sur chaque page de Cloudflare :

• Vérifiez les informations sensibles dans le Journal de construction.

• Vérifiez les informations sensibles dans le dépôt Github assigné aux pages.

• Vérifiez le potentiel compromis du dépôt github via l'injection de commande de workflow ou le compromis de pull_request_target. Plus d'infos sur la page de sécurité Github.

• Vérifiez les fonctions vulnérables dans le répertoire /fuctions (s'il y en a), vérifiez les redirections dans le fichier _redirects (s'il y en a) et les en-têtes mal configurés dans le fichier _headers (s'il y en a).

• Vérifiez les vulnérabilités dans la page web via blackbox ou whitebox si vous pouvez accéder au code.

• Dans les détails de chaque page /<page_id>/pages/view/blocklist/settings/functions. Vérifiez les informations sensibles dans les Variables d'environnement.

• Dans la page de détails, vérifiez également la commande de construction et le répertoire racine pour des injections potentielles pouvant compromettre la page.

Workers

Sur chaque worker de Cloudflare, vérifiez :

• Les déclencheurs : Qu'est-ce qui fait déclencher le worker ? Un utilisateur peut-il envoyer des données qui seront utilisées par le worker ?

• Dans les Paramètres, vérifiez les Variables contenant des informations sensibles.

• Vérifiez le code du worker et recherchez des vulnérabilités (surtout dans les endroits où l'utilisateur peut gérer l'entrée).

• Vérifiez les SSRFs retournant la page indiquée que vous pouvez contrôler.

• Vérifiez les XSS exécutant du JS à l'intérieur d'une image svg.

• Il est possible que le worker interagisse avec d'autres services internes. Par exemple, un worker peut interagir avec un bucket R2 stockant des informations obtenues à partir de l'entrée. Dans ce cas, il serait nécessaire de vérifier quelles capacités le worker a sur le bucket R2 et comment cela pourrait être abusé à partir de l'entrée utilisateur.

R2

Sur chaque bucket R2, vérifiez :

• Configurez la politique CORS.

Stream

TODO

Images

TODO

Centre de sécurité

• Si possible, exécutez un scan Security Insights et un scan Infrastructure, car ils mettront en évidence des informations intéressantes sur la sécurité.

• Vérifiez simplement ces informations pour des configurations de sécurité incorrectes et des informations intéressantes.

Turnstile

TODO

Zero Trust

Redirections en masse

• Vérifiez que les expressions et les exigences pour les redirections ont du sens.

• Vérifiez également les points de terminaison cachés sensibles qui contiennent des informations intéressantes.

Notifications

• Vérifiez les notifications. Ces notifications sont recommandées pour la sécurité :

• Facturation basée sur l'utilisation

• Alerte d'attaque DDoS HTTP

• Alerte d'attaque DDoS de couche 3/4

• Alerte d'attaque DDoS HTTP avancée

• Alerte d'attaque DDoS de couche 3/4 avancée

• Surveillance basée sur le flux : Attaque volumétrique

• Alerte de détection de fuite de route

• Alerte d'expiration du certificat mTLS d'accès

• Alerte SSL pour les noms d'hôtes personnalisés SaaS

• Alerte SSL universel

• Alerte de détection de changement de code nouveau dans le moniteur de script

• Alerte de nouveau domaine dans le moniteur de script

• Alerte de nouveau domaine malveillant dans le moniteur de script

• Alerte de nouveau script malveillant dans le moniteur de script

• Alerte de nouvelle URL malveillante dans le moniteur de script

• Alerte de nouveaux scripts dans le moniteur de script

• Alerte de nouveau script dépassant la longueur maximale de l'URL dans le moniteur de script

• Alerte d'événements de sécurité avancés

• Alerte d'événements de sécurité

• Vérifiez toutes les destinations, car il pourrait y avoir des informations sensibles (authentification http basique) dans les urls webhook. Assurez-vous également que les urls webhook utilisent HTTPS.

• En vérification supplémentaire, vous pourriez essayer de imiter une notification Cloudflare à un tiers, peut-être que vous pouvez d'une manière ou d'une autre injecter quelque chose de dangereux.

Gérer le compte

• Il est possible de voir les 4 derniers chiffres de la carte de crédit, la date d'expiration et l'adresse de facturation dans Facturation -> Informations de paiement.

• Il est possible de voir le type de plan utilisé dans le compte dans Facturation -> Abonnements.

• Dans Membres, il est possible de voir tous les membres du compte et leur rôle. Notez que si le type de plan n'est pas Entreprise, seuls 2 rôles existent : Administrateur et Super Administrateur. Mais si le plan utilisé est Entreprise, plus de rôles peuvent être utilisés pour suivre le principe du moindre privilège.

• Par conséquent, chaque fois que cela est possible, il est recommandé d'utiliser le plan Entreprise.

• Dans Membres, il est possible de vérifier quels membres ont 2FA activé. Chaque utilisateur devrait l'avoir activé.

Enquête DDoS

Consultez cette partie.