Cloudflare Security

在一个 Cloudflare 账户中，有一些通用设置和服务可以配置。在本页面中，我们将分析每个部分的安全相关设置：

Websites

检查每个：

Domain Registration

• 在 Transfer Domains 中检查是否无法转移任何域名。

检查每个：

Analytics

我找不到任何需要检查的配置安全审查。

Pages

在每个 Cloudflare 的页面上：

• 检查 Build log 中的敏感信息。

• 检查分配给页面的 Github 仓库中的敏感信息。

• 检查通过 workflow command injection 或 pull_request_target 攻击潜在的 github 仓库泄露。更多信息请参见 Github Security page。

• 检查 /fuctions 目录（如果有）中的漏洞函数，检查 _redirects 文件（如果有）中的重定向和 _headers 文件（如果有）中的配置错误的头。

• 通过 blackbox 或 whitebox 检查 web 页面中的漏洞，如果你可以访问代码。

• 在每个页面的详细信息 /<page_id>/pages/view/blocklist/settings/functions 中。检查 Environment variables 中的敏感信息。

• 在详细信息页面中还要检查 build command 和 root directory 中的潜在注入，以便破坏页面。

Workers

在每个 Cloudflare 的 worker 上检查：

• 触发器：是什么触发了 worker？用户是否可以发送数据给 worker 使用？

• 在 Settings 中，检查 Variables 中是否包含敏感信息。

• 检查 worker 的代码并搜索漏洞（特别是在用户可以管理输入的地方）。

• 检查返回你可以控制的页面的 SSRFs。

• 检查在 svg 图像中执行 JS 的 XSSs。

• 可能 worker 会与其他内部服务交互。例如，worker 可能会与存储从输入中获取信息的 R2 bucket 交互。在这种情况下，需要检查 worker 对 R2 bucket 的能力以及如何从用户输入中滥用这些能力。

R2

在每个 R2 bucket 上检查：

• 配置 CORS Policy。

Stream

TODO

Images

TODO

Security Center

• 如果可能，运行 Security Insights 扫描和 Infrastructure 扫描，因为它们会突出显示安全方面的有趣信息。

• 只需检查这些信息以查找安全配置错误和有趣的信息。

Turnstile

TODO

Zero Trust

Bulk Redirects

• 检查重定向的表达式和要求是否合理。

• 还要检查是否有包含有趣信息的敏感隐藏端点。

Notifications

• 检查 notifications。这些通知推荐用于安全：

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• 检查所有的destinations，因为 webhook urls 中可能有敏感信息（基本 http 认证）。还要确保 webhook urls 使用 HTTPS。

• 作为额外检查，你可以尝试冒充 cloudflare 通知给第三方，也许你可以以某种方式注入一些危险的东西。

Manage Account

• 在 Billing -> Payment info 中可以看到信用卡的最后 4 位数字、到期时间和账单地址。

• 在 Billing -> Subscriptions 中可以看到账户使用的计划类型。

• 在 Members 中可以看到账户的所有成员及其角色。请注意，如果计划类型不是 Enterprise，则只有 2 个角色：Administrator 和 Super Administrator。但如果使用的计划是 Enterprise，则可以使用 更多角色 来遵循最小特权原则。

• 因此，尽可能使用Enterprise 计划是推荐的。

• 在 Members 中可以检查哪些成员启用了 2FA。每个用户都应该启用它。

DDoS Investigation

检查此部分。