Cloudflare Security

Cloudflare 계정에는 구성할 수 있는 일반 설정 및 서비스가 있습니다. 이 페이지에서는 각 섹션의 보안 관련 설정을 분석할 것입니다:

Websites

각각을 검토하십시오:

Domain Registration

• **Transfer Domains**에서 어떤 도메인도 전송할 수 없는지 확인하십시오.

각각을 검토하십시오:

Analytics

구성 보안 검토를 위한 확인할 사항을 찾을 수 없었습니다.

Pages

각 Cloudflare 페이지에서:

• **Build log**에서 민감한 정보를 확인하십시오.

• 페이지에 할당된 Github repository에서 민감한 정보를 확인하십시오.

• workflow command injection 또는 pull_request_target 손상을 통한 잠재적인 github repo 손상을 확인하십시오. 자세한 내용은 Github Security page에서 확인하십시오.

• /fuctions 디렉토리에서 취약한 함수를 확인하고 (있는 경우) _redirects 파일에서 리다이렉트를 확인하고 (있는 경우) _headers 파일에서 잘못 구성된 헤더를 확인하십시오 (있는 경우).

• 코드에 접근할 수 있다면 blackbox 또는 whitebox를 통해 웹 페이지의 취약점을 확인하십시오.

• 각 페이지의 세부정보 /<page_id>/pages/view/blocklist/settings/functions에서 **Environment variables**에 민감한 정보가 있는지 확인하십시오.

• 세부정보 페이지에서 build command와 root directory를 확인하여 페이지를 손상시킬 수 있는 잠재적 주입을 확인하십시오.

Workers

각 Cloudflare worker에서 확인하십시오:

• 트리거: 무엇이 worker를 트리거합니까? 사용자가 데이터를 보낼 수 있습니까? 이 데이터는 worker에 의해 사용됩니까?

• **Settings**에서 민감한 정보를 포함하는 **Variables**를 확인하십시오.

• worker의 코드를 확인하고 취약점을 검색하십시오 (특히 사용자가 입력을 관리할 수 있는 곳에서).

• 제어할 수 있는 페이지를 반환하는 SSRF를 확인하십시오.

• svg 이미지 내에서 JS를 실행하는 XSS를 확인하십시오.

• worker가 내부 서비스와 상호작용할 수 있습니다. 예를 들어, worker는 입력에서 얻은 정보를 저장하는 R2 버킷과 상호작용할 수 있습니다. 이 경우 worker가 R2 버킷에 대해 어떤 기능을 가지고 있는지, 사용자의 입력으로부터 어떻게 남용될 수 있는지 확인해야 합니다.

R2

각 R2 버킷에서 확인하십시오:

• CORS Policy를 구성하십시오.

Stream

TODO

Images

TODO

Security Center

• 가능하다면 Security Insights 스캔과 Infrastructure 스캔을 실행하십시오. 이들은 보안 측면에서 흥미로운 정보를 강조할 것입니다.

• 보안 잘못 구성된 정보와 흥미로운 정보를 확인하십시오.

Turnstile

TODO

Zero Trust

Bulk Redirects

• 리다이렉트에 대한 expressions와 requirements가 의미가 있는지 확인하십시오.

• 또한 흥미로운 정보를 포함하는 민감한 숨겨진 엔드포인트를 확인하십시오.

Notifications

• 알림을 확인하십시오. 이러한 알림은 보안을 위해 권장됩니다:

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• 모든 대상을 확인하십시오. 웹훅 URL에 민감한 정보 (기본 http 인증)가 있을 수 있습니다. 웹훅 URL이 HTTPS를 사용하는지 확인하십시오.

• 추가 확인으로, cloudflare 알림을 제3자에게 가장해 보십시오. 어쩌면 위험한 것을 주입할 수 있을지도 모릅니다.

Manage Account

• **Billing -> Payment info**에서 신용 카드의 마지막 4자리, 만료 시간 및 청구 주소를 확인할 수 있습니다.

• **Billing -> Subscriptions**에서 계정에 사용된 요금제 유형을 확인할 수 있습니다.

• **Members**에서 계정의 모든 구성원과 그들의 역할을 확인할 수 있습니다. 요금제 유형이 Enterprise가 아닌 경우, 두 가지 역할만 존재합니다: Administrator와 Super Administrator. 그러나 사용된 요금제가 Enterprise인 경우, 더 많은 역할을 사용하여 최소 권한 원칙을 따를 수 있습니다.

• 따라서 가능할 때마다 Enterprise 요금제를 사용하는 것이 권장됩니다.

• Members에서 2FA가 활성화된 구성원을 확인할 수 있습니다. 모든 사용자는 이를 활성화해야 합니다.

DDoS Investigation

이 부분을 확인하십시오.