Σε έναν λογαριασμό Cloudflare υπάρχουν ορισμένες γενικές ρυθμίσεις και υπηρεσίες που μπορούν να διαμορφωθούν. Σε αυτήν τη σελίδα θα αναλύσουμε τις ρυθμίσεις ασφαλείας που σχετίζονται με κάθε ενότητα:

Ιστότοποι

Ελέγξτε κάθε ένα με:

Εγγραφή Domain

• Στο Transfer Domains ελέγξτε ότι δεν είναι δυνατή η μεταφορά οποιουδήποτε domain.

Ελέγξτε κάθε ένα με:

Αναλυτικά στοιχεία

Δεν βρήκα κάτι για έλεγχο ασφάλειας των ρυθμίσεων.

Σελίδες

Σε κάθε σελίδα του Cloudflare:

• Ελέγξτε για ευαίσθητες πληροφορίες στο Build log.

• Ελέγξτε για ευαίσθητες πληροφορίες στο αποθετήριο Github που έχει ανατεθεί στις σελίδες.

• Ελέγξτε για πιθανή παραβίαση του αποθετηρίου Github μέσω εντολής εντολής εργασίας ή παραβίασης του pull_request_target. Περισσότερες πληροφορίες στη σελίδα ασφαλείας του Github.

• Ελέγξτε για ευάλωτες λειτουργίες στον κατάλογο /fuctions (αν υπάρχει), ελέγξτε τις ανακατευθύνσεις στο αρχείο _redirects (αν υπάρχει) και τις κακοδιαμορφωμένες κεφαλίδες στο αρχείο _headers (αν υπάρχει).

• Ελέγξτε για ευπάθειες στη ιστοσελίδα μέσω blackbox ή whitebox αν έχετε πρόσβαση στον κώδικα

• Στις λεπτομέρειες κάθε σελίδας /<page_id>/pages/view/blocklist/settings/functions. Ελέγξτε για ευαίσθητες πληροφορίες στις Μεταβλητές περιβάλλοντος.

• Στη σελίδα λεπτομερειών ελέγξτε επίσης την εντολή κατασκευής και τον κατάλογο ρίζας για πιθανές ενέσεις για να παραβιάσετε τη σελίδα.

Εργαζόμενοι

Σε κάθε εργαζόμενο του Cloudflare ελέγξτε:

• Τους εκτελεστές: Τι κάνει τον εργαζόμενο να εκτελείται; Μπορεί ένας χρήστης να στείλει δεδομένα που θα χρησιμοποιηθούν από τον εργαζόμενο;

• Στις Ρυθμίσεις, ελέγξτε τις Μεταβλητές που περιέχουν ευαίσθητες πληροφορίες

• Ελέγξτε τον κώδικα του εργαζομένου και αναζητήστε ευπάθειες (ιδια

Έρευνα DDoS

Ελέγξτε αυτό το μέρος.