Cloudflare Security

Em uma conta Cloudflare, existem algumas configurações gerais e serviços que podem ser configurados. Nesta página, vamos analisar as configurações relacionadas à segurança de cada seção:

Websites

Revise cada um com:

Registro de Domínio

• Em Transfer Domains, verifique se não é possível transferir nenhum domínio.

Revise cada um com:

Analytics

Eu não consegui encontrar nada para verificar em uma revisão de segurança de configuração.

Pages

Em cada página do Cloudflare:

• Verifique se há informações sensíveis no Build log.

• Verifique se há informações sensíveis no repositório do Github atribuído às páginas.

• Verifique por possível comprometimento do repositório do github via workflow command injection ou comprometimento de pull_request_target. Mais informações na página de Segurança do Github.

• Verifique se há funções vulneráveis no diretório /fuctions (se houver), verifique os redirecionamentos no arquivo _redirects (se houver) e cabeçalhos mal configurados no arquivo _headers (se houver).

• Verifique se há vulnerabilidades na página da web via blackbox ou whitebox se você puder acessar o código.

• Nos detalhes de cada página /<page_id>/pages/view/blocklist/settings/functions. Verifique se há informações sensíveis nas Environment variables.

• Na página de detalhes, verifique também o comando de build e o diretório raiz para potenciais injeções que possam comprometer a página.

Workers

Em cada worker do Cloudflare, verifique:

• Os gatilhos: O que faz o worker ser acionado? Um usuário pode enviar dados que serão usados pelo worker?

• Nas Settings, verifique se há Variables contendo informações sensíveis.

• Verifique o código do worker e procure por vulnerabilidades (especialmente em lugares onde o usuário pode gerenciar a entrada).

• Verifique SSRFs retornando a página indicada que você pode controlar.

• Verifique XSSs executando JS dentro de uma imagem svg.

• É possível que o worker interaja com outros serviços internos. Por exemplo, um worker pode interagir com um bucket R2 armazenando informações obtidas da entrada. Nesse caso, seria necessário verificar quais capacidades o worker tem sobre o bucket R2 e como isso poderia ser abusado a partir da entrada do usuário.

R2

Em cada bucket R2, verifique:

• Configure a Política de CORS.

Stream

TODO

Images

TODO

Security Center

• Se possível, execute uma varredura de Security Insights e uma varredura de Infrastructure, pois elas destacarão informações interessantes do ponto de vista de segurança.

• Apenas verifique essas informações para configurações de segurança incorretas e informações interessantes.

Turnstile

TODO

Zero Trust

Redirecionamentos em Massa

• Verifique se as expressões e requisitos para redirecionamentos fazem sentido.

• Verifique também se há endpoints ocultos sensíveis que contenham informações interessantes.

Notificações

• Verifique as notificações. Essas notificações são recomendadas para segurança:

• Uso Baseado em Cobrança

• Alerta de Ataque DDoS HTTP

• Alerta de Ataque DDoS Camada 3/4

• Alerta de Ataque DDoS HTTP Avançado

• Alerta de Ataque DDoS Camada 3/4 Avançado

• Monitoramento Baseado em Fluxo: Ataque Volumétrico

• Alerta de Detecção de Vazamento de Rota

• Alerta de Expiração de Certificado mTLS de Acesso

• Alerta de SSL para Nomes de Host Personalizados SaaS

• Alerta de SSL Universal

• Alerta de Detecção de Nova Mudança de Código no Monitor de Script

• Alerta de Novo Domínio no Monitor de Script

• Alerta de Novo Domínio Malicioso no Monitor de Script

• Alerta de Novo Script Malicioso no Monitor de Script

• Alerta de Nova URL Maliciosa no Monitor de Script

• Alerta de Novos Scripts no Monitor de Script

• Alerta de Novo Script Excede o Comprimento Máximo da URL no Monitor de Script

• Alerta de Eventos de Segurança Avançados

• Alerta de Eventos de Segurança

• Verifique todos os destinos, pois pode haver informações sensíveis (autenticação http básica) nas URLs de webhook. Certifique-se também de que as URLs de webhook usem HTTPS.

• Como verificação extra, você pode tentar impersonar uma notificação do cloudflare para um terceiro, talvez você consiga injetar algo perigoso de alguma forma.

Gerenciar Conta

• É possível ver os últimos 4 dígitos do cartão de crédito, o tempo de expiração e o endereço de cobrança em Billing -> Payment info.

• É possível ver o tipo de plano usado na conta em Billing -> Subscriptions.

• Em Members, é possível ver todos os membros da conta e seu papel. Note que se o tipo de plano não for Enterprise, existem apenas 2 papéis: Administrador e Super Administrador. Mas se o plano utilizado for Enterprise, mais papéis podem ser usados para seguir o princípio do menor privilégio.

• Portanto, sempre que possível, é recomendado usar o plano Enterprise.

• Em Membros, é possível verificar quais membros têm 2FA habilitado. Todo usuário deve tê-lo habilitado.

Investigação DDoS

Verifique esta parte.