Dans un compte Cloudflare, il y a des paramètres généraux et des services qui peuvent être configurés. Sur cette page, nous allons analyser les paramètres liés à la sécurité de chaque section :

Sites Web

Examinez chacun avec :

Enregistrement de domaine

• Dans Transférer des domaines, vérifiez qu'il n'est pas possible de transférer un domaine.

Examinez chacun avec :

Analytique

Je n'ai rien trouvé à vérifier pour une analyse de sécurité de la configuration.

Pages

Sur chaque page de Cloudflare :

• Vérifiez s'il y a des informations sensibles dans le Journal de construction.

• Vérifiez s'il y a des informations sensibles dans le dépôt Github assigné aux pages.

• Vérifiez la compromission potentielle du dépôt Github via l'injection de commandes de workflow ou la compromission de pull_request_target. Plus d'informations sur la page de sécurité Github.

• Recherchez des fonctions vulnérables dans le répertoire /fonctions (s'il y en a), vérifiez les redirections dans le fichier _redirects (s'il y en a) et les en-têtes mal configurés dans le fichier _headers (s'il y en a).

• Recherchez des vulnérabilités sur la page web via blackbox ou whitebox si vous pouvez accéder au code

• Dans les détails de chaque page /<page_id>/pages/view/blocklist/settings/functions. Vérifiez s'il y a des informations sensibles dans les Variables d'environnement.

• Sur la page de détails, vérifiez également la commande de construction et le répertoire racine pour les injections potentielles compromettant la page.

Workers

Sur chaque worker de Cloudflare, vérifiez :

• Les déclencheurs : Qu'est-ce qui déclenche le worker ? Un utilisateur peut-il envoyer des données qui seront utilisées par le worker ?

• Dans les Paramètres, vérifiez les Variables contenant des informations sensibles

• Vérifiez le code du worker et recherchez des vulnérabilités (surtout à des endroits où l'utilisateur peut gérer l'entrée)

• Vérifiez les SSRF renvoyant la page indiquée que vous pouvez contrôler

• Vérifiez les XSS exécutant du JS à l'intérieur d'une image svg

R2

À FAIRE

Stream

À FAIRE

Images

À FAIRE

Centre de sécurité

• Si possible, exécutez un scan Security Insights et un scan Infrastructure, car ils mettront en évidence des informations intéressantes du point de vue de la sécurité.

• Vérifiez simplement ces informations pour les erreurs de configuration de sécurité et les informations intéressantes

Tourniquet

À FAIRE

Zéro Trust

Redirections en masse

• Vérifiez que les expressions et les exigences pour les redirections ont du sens.

• Vérifiez également les points de terminaison cachés sensibles qui contiennent des informations intéressantes.

Notifications

• Vérifiez les notifications. Ces notifications sont recommandées pour la sécurité :

• Facturation basée sur l'utilisation

• Alerte d'attaque DDoS HTTP

• Alerte d'attaque DDoS de couche 3/4

• Alerte d'attaque DDoS HTTP avancée

• Alerte d'attaque DDoS de couche 3/4 avancée

• Surveillance basée sur le flux : Attaque volumétrique

• Alerte de détection de fuite de route

• Alerte d'expiration de certificat mTLS d'accès

• Alerte SSL pour noms d'hôtes personnalisés SaaS

• Alerte SSL universel

• Alerte de détection de nouveau changement de code de surveillance de script

• Alerte de nouveau domaine de surveillance de script

• Alerte de nouveau domaine malveillant de surveillance de script

• Alerte de nouveau script malveillant de surveillance de script

• Alerte de nouvel URL malveillant de surveillance de script

• Alerte de nouveaux scripts de surveillance de script

• Alerte de nouveau script dépassant la longueur d'URL maximale de surveillance de script

• Alerte d'événements de sécurité avancés

• Alerte d'événements de sécurité

• Vérifiez toutes les destinations, car il pourrait y avoir des informations sensibles (authentification de base http) dans les URL de webhook. Assurez-vous également que les URL de webhook utilisent le HTTPS

• En vérification supplémentaire, vous pourriez essayer de usurper une notification Cloudflare à un tiers, peut-être pouvez-vous d'une manière ou d'une autre injecter quelque chose de dangereux

Gérer le compte

• Il est possible de voir les 4 derniers chiffres de la carte de crédit, la date d'expiration et l'adresse de facturation dans Facturation -> Informations de paiement.

• Il est possible de voir le type de plan utilisé dans le compte dans Facturation -> Abonnements.

• Dans Membres, il est possible de voir tous les membres du compte et leur rôle. Notez que si le type de plan n'est pas Entreprise, seuls 2 rôles existent : Administrateur et Super Administrateur. Mais si le plan utilisé est Entreprise, plus de rôles peuvent être utilisés pour suivre le principe du moindre privilège.

• Par conséquent, chaque fois que possible, il est recommandé d'utiliser le plan Entreprise.

• Dans les Membres, il est possible de vérifier quels membres ont activé l'authentification à deux facteurs (2FA). Chaque utilisateur devrait l'avoir activé.

## Enquête sur les attaques DDoS

Vérifiez cette partie.