Cloudflare Security

Cloudflare खाते में कुछ सामान्य सेटिंग्स और सेवाएँ हैं जिन्हें कॉन्फ़िगर किया जा सकता है। इस पृष्ठ पर हम प्रत्येक अनुभाग की सुरक्षा से संबंधित सेटिंग्स का विश्लेषण करने जा रहे हैं:

Websites

प्रत्येक की समीक्षा करें:

Domain Registration

• Transfer Domains में जांचें कि कोई भी डोमेन स्थानांतरित करना संभव नहीं है।

प्रत्येक की समीक्षा करें:

Analytics

मैंने कॉन्फ़िग सुरक्षा समीक्षा के लिए कुछ भी नहीं पाया।

Pages

Cloudflare के प्रत्येक पृष्ठ पर:

• Build log में संवेदनशील जानकारी की जांच करें।

• पृष्ठों को सौंपे गए Github repository में संवेदनशील जानकारी की जांच करें।

• workflow command injection या pull_request_target समझौता के माध्यम से संभावित github repo समझौता की जांच करें। अधिक जानकारी Github Security page में है।

• /fuctions निर्देशिका में कमजोर कार्यों की जांच करें (यदि कोई हो), _redirects फ़ाइल में redirects की जांच करें (यदि कोई हो) और _headers फ़ाइल में गलत कॉन्फ़िगर किए गए हेडर की जांच करें (यदि कोई हो)।

• यदि आप कोड तक पहुँच सकते हैं तो blackbox या whitebox के माध्यम से वेब पृष्ठ में कमजोरियों की जांच करें।

• प्रत्येक पृष्ठ के विवरण में /<page_id>/pages/view/blocklist/settings/functions। Environment variables में संवेदनशील जानकारी की जांच करें।

• विवरण पृष्ठ में build command और root directory की भी जांच करें कि क्या संभावित इंजेक्शन पृष्ठ को समझौता कर सकते हैं।

Workers

Cloudflare के प्रत्येक कार्यकर्ता की जांच करें:

• ट्रिगर्स: कार्यकर्ता को क्या ट्रिगर करता है? क्या एक उपयोगकर्ता डेटा भेज सकता है जो कार्यकर्ता द्वारा उपयोग किया जाएगा?

• Settings में, संवेदनशील जानकारी वाले Variables की जांच करें।

• कार्यकर्ता के कोड की जांच करें और कमजोरियों की खोज करें (विशेष रूप से उन स्थानों पर जहां उपयोगकर्ता इनपुट को प्रबंधित कर सकता है)।

• नियंत्रित पृष्ठ लौटाने वाले SSRFs की जांच करें।

• SVG छवि के अंदर JS निष्पादित करने वाले XSS की जांच करें।

• यह संभव है कि कार्यकर्ता अन्य आंतरिक सेवाओं के साथ बातचीत करता है। उदाहरण के लिए, एक कार्यकर्ता एक R2 बकेट के साथ बातचीत कर सकता है जिसमें इनपुट से प्राप्त जानकारी संग्रहीत होती है। उस मामले में, यह जांचना आवश्यक होगा कि कार्यकर्ता के पास R2 बकेट पर क्या क्षमताएँ हैं और इसे उपयोगकर्ता इनपुट से कैसे दुरुपयोग किया जा सकता है।

R2

प्रत्येक R2 बकेट की जांच करें:

• CORS नीति कॉन्फ़िगर करें।

Stream

TODO

Images

TODO

Security Center

• यदि संभव हो, तो Security Insights स्कैन और Infrastructure स्कैन चलाएँ, क्योंकि वे सुरक्षा के मामले में दिलचस्प जानकारी हाइलाइट करेंगे।

• सुरक्षा गलत कॉन्फ़िगरेशन और दिलचस्प जानकारी के लिए केवल इस जानकारी की जांच करें।

Turnstile

TODO

Zero Trust

Bulk Redirects

• जांचें कि व्यक्तियाँ और आवश्यकताएँ रीडायरेक्ट के लिए संगत हैं।

• संवेदनशील छिपे हुए एंडपॉइंट्स की भी जांच करें जिनमें दिलचस्प जानकारी हो सकती है।

Notifications

• सूचनाओं की जांच करें। ये सूचनाएँ सुरक्षा के लिए अनुशंसित हैं:

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• सभी गंतव्यों की जांच करें, क्योंकि वेबहुक URLs में संवेदनशील जानकारी (बुनियादी http प्रमाणीकरण) हो सकती है। यह भी सुनिश्चित करें कि वेबहुक URLs HTTPS का उपयोग करते हैं।

• अतिरिक्त जांच के रूप में, आप किसी तीसरे पक्ष को cloudflare सूचना का प्रतिरूपण करने का प्रयास कर सकते हैं, शायद आप किसी तरह कुछ खतरनाक इंजेक्ट कर सकते हैं।

Manage Account

• Billing -> Payment info में क्रेडिट कार्ड के अंतिम 4 अंक, समाप्ति समय और बिलिंग पता देखना संभव है।

• Billing -> Subscriptions में खाते में उपयोग की जाने वाली योजना प्रकार देखना संभव है।

• Members में खाते के सभी सदस्यों और उनकी भूमिका को देखना संभव है। ध्यान दें कि यदि योजना प्रकार एंटरप्राइज नहीं है, तो केवल 2 भूमिकाएँ होती हैं: व्यवस्थापक और सुपर व्यवस्थापक। लेकिन यदि उपयोग की गई योजना एंटरप्राइज है, तो अधिक भूमिकाएँ का उपयोग किया जा सकता है ताकि न्यूनतम विशेषाधिकार सिद्धांत का पालन किया जा सके।

• इसलिए, जब भी संभव हो, एंटरप्राइज योजना का उपयोग करना अनुशंसित है।

• सदस्यों में यह जांचना संभव है कि कौन से सदस्यों ने 2FA सक्षम किया है। हर उपयोगकर्ता को इसे सक्षम करना चाहिए।

DDoS Investigation

इस भाग की जांच करें.