Cloudflare Security

Cloudflareアカウントには、設定できるいくつかの一般設定とサービスがあります。このページでは、各セクションのセキュリティ関連設定を分析します：

Websites

各項目を確認してください：

Domain Registration

• **Transfer Domains**で、ドメインを転送できないことを確認します。

各項目を確認してください：

Analytics

設定のセキュリティレビューのために確認できるものは見つかりませんでした。

Pages

各Cloudflareのページで：

• Build logに機密情報がないか確認します。

• ページに割り当てられたGithubリポジトリに機密情報がないか確認します。

• workflow command injectionやpull_request_targetの侵害による潜在的なgithubリポジトリの侵害を確認します。詳細はGithub Security pageを参照してください。

• /fuctionsディレクトリ内の脆弱な関数を確認し（あれば）、_redirectsファイル内のリダイレクト（あれば）と_headersファイル内の誤設定されたヘッダー（あれば）を確認します。

• コードにアクセスできる場合、blackboxまたはwhiteboxを通じてウェブページの脆弱性を確認します。

• 各ページの詳細/<page_id>/pages/view/blocklist/settings/functionsで、Environment variablesに機密情報がないか確認します。

• 詳細ページでビルドコマンドとルートディレクトリを確認し、ページを侵害するための潜在的なインジェクションがないか確認します。

Workers

各Cloudflareのワーカーで確認します：

• トリガー：ワーカーをトリガーするのは何ですか？ユーザーがデータを送信でき、それがワーカーによって使用される可能性はありますか？

• **Settingsで、機密情報を含むVariables**を確認します。

• ワーカーのコードを確認し、脆弱性を探します（特にユーザーが入力を管理できる場所で）。

• 指定されたページを返すSSRFを確認します。

• svg画像内でJSを実行するXSSを確認します。

• ワーカーが他の内部サービスと相互作用する可能性があります。たとえば、ワーカーは入力から取得した情報を格納するR2バケットと相互作用する場合があります。その場合、ワーカーがR2バケットに対してどのような権限を持ち、ユーザー入力からどのように悪用される可能性があるかを確認する必要があります。

R2

各R2バケットで確認します：

• CORSポリシーを設定します。

Stream

TODO

Images

TODO

Security Center

• 可能であれば、Security InsightsスキャンとInfrastructureスキャンを実行してください。これにより、セキュリティに関する興味深い情報が強調表示されます。

• セキュリティの誤設定や興味深い情報について、この情報を確認してください。

Turnstile

TODO

Zero Trust

Bulk Redirects

• リダイレクトのための表現と要件が意味をなすことを確認します。

• 興味深い情報を含む機密の隠れたエンドポイントも確認します。

Notifications

• 通知を確認します。これらの通知はセキュリティのために推奨されます：

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• すべての宛先を確認します。Webhook URLに機密情報（基本的なhttp認証）が含まれている可能性があります。また、Webhook URLがHTTPSを使用していることを確認してください。

• 追加の確認として、Cloudflare通知を第三者に偽装してみることができます。もしかしたら、何か危険なものを注入できるかもしれません。

Manage Account

• Billing -> Payment infoで、クレジットカードの最後の4桁、有効期限、および請求先住所を見ることができます。

• Billing -> Subscriptionsで、アカウントで使用されているプランタイプを見ることができます。

• Membersで、アカウントのすべてのメンバーとその役割を見ることができます。プランタイプがEnterpriseでない場合、2つの役割（AdministratorとSuper Administrator）しか存在しません。しかし、使用されているプランがEnterpriseの場合、より多くの役割が使用でき、最小権限の原則に従うことができます。

• したがって、可能な限りEnterpriseプランを使用することが推奨されます。

• メンバーで2FAが有効になっているメンバーを確認できます。すべてのユーザーは有効にするべきです。

DDoS Investigation

この部分を確認してください。