Cloudflare Security

एक Cloudflare खाते में कुछ सामान्य सेटिंग्स और सेवाएँ होती हैं जिन्हें कॉन्फ़िगर किया जा सकता है। इस पृष्ठ पर हम प्रत्येक अनुभाग की सुरक्षा संबंधित सेटिंग्स का विश्लेषण करने जा रहे हैं:

Websites

प्रत्येक की समीक्षा करें:

Domain Registration

• Transfer Domains में जांचें कि किसी भी डोमेन को ट्रांसफर करना संभव नहीं है।

प्रत्येक की समीक्षा करें:

Analytics

मैंने कॉन्फ़िग सुरक्षा समीक्षा के लिए कुछ भी जांचने के लिए नहीं पाया।

Pages

प्रत्येक Cloudflare के पृष्ठ पर:

• Build log में संवेदनशील जानकारी की जांच करें।

• पृष्ठों को सौंपे गए Github repository में संवेदनशील जानकारी की जांच करें।

• workflow command injection या pull_request_target समझौते के माध्यम से संभावित github repo समझौते की जांच करें। अधिक जानकारी Github Security page में।

• /fuctions निर्देशिका (यदि कोई हो) में कमजोर कार्यों की जांच करें, _redirects फ़ाइल (यदि कोई हो) में redirects और _headers फ़ाइल (यदि कोई हो) में गलत कॉन्फ़िगर हेडर की जांच करें।

• ब्लैकबॉक्स या व्हाइटबॉक्स के माध्यम से वेब पेज में कमजोरियों की जांच करें यदि आप कोड तक पहुंच सकते हैं।

• प्रत्येक पृष्ठ के विवरण में /<page_id>/pages/view/blocklist/settings/functions। Environment variables में संवेदनशील जानकारी की जांच करें।

• विवरण पृष्ठ में बिल्ड कमांड और रूट निर्देशिका में संभावित इंजेक्शन की जांच करें ताकि पृष्ठ को समझौता किया जा सके।

Workers

प्रत्येक Cloudflare के worker पर जांचें:

• ट्रिगर्स: क्या worker को ट्रिगर करता है? क्या कोई उपयोगकर्ता डेटा भेज सकता है जिसे worker द्वारा उपयोग किया जाएगा?

• Settings में, Variables में संवेदनशील जानकारी की जांच करें।

• worker के कोड की जांच करें और कमजोरियों की खोज करें (विशेष रूप से उन स्थानों पर जहां उपयोगकर्ता इनपुट को प्रबंधित कर सकता है)।

• SSRFs की जांच करें जो आपके द्वारा नियंत्रित पृष्ठ को लौटाते हैं।

• XSSs की जांच करें जो svg छवि के अंदर JS निष्पादित करते हैं।

• यह संभव है कि worker अन्य आंतरिक सेवाओं के साथ बातचीत करता हो। उदाहरण के लिए, एक worker एक R2 बकेट के साथ बातचीत कर सकता है जो इनपुट से प्राप्त जानकारी को उसमें संग्रहीत करता है। उस मामले में, यह जांचना आवश्यक होगा कि worker के पास R2 बकेट पर क्या क्षमताएं हैं और उपयोगकर्ता इनपुट से इसे कैसे दुरुपयोग किया जा सकता है।

R2

प्रत्येक R2 बकेट पर जांचें:

• CORS Policy कॉन्फ़िगर करें।

Stream

TODO

Images

TODO

Security Center

• यदि संभव हो, तो Security Insights स्कैन और Infrastructure स्कैन चलाएं, क्योंकि वे सुरक्षा के दृष्टिकोण से दिलचस्प जानकारी हाइलाइट करेंगे।

• बस इस जानकारी की सुरक्षा गलत कॉन्फ़िगरेशन और दिलचस्प जानकारी के लिए जांच करें।

Turnstile

TODO

Zero Trust

Bulk Redirects

• जांचें कि रीडायरेक्ट के लिए अभिव्यक्तियाँ और आवश्यकताएँ सार्थक हैं।

• संवेदनशील छिपे हुए एंडपॉइंट्स के लिए भी जांचें जिनमें दिलचस्प जानकारी हो सकती है।

Notifications

• सूचनाओं की जांच करें। ये सूचनाएँ सुरक्षा के लिए अनुशंसित हैं:

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• सभी गंतव्यों की जांच करें, क्योंकि webhook urls में संवेदनशील जानकारी (basic http auth) हो सकती है। यह भी सुनिश्चित करें कि webhook urls HTTPS का उपयोग करते हैं।

• अतिरिक्त जांच के रूप में, आप किसी तीसरे पक्ष को cloudflare सूचना का प्रतिरूपण करने का प्रयास कर सकते हैं, शायद आप किसी तरह कुछ खतरनाक इंजेक्ट कर सकते हैं।

Manage Account

• Billing -> Payment info में क्रेडिट कार्ड के अंतिम 4 अंक, समाप्ति समय और बिलिंग पता देखना संभव है।

• Billing -> Subscriptions में खाते में उपयोग किए गए योजना प्रकार को देखना संभव है।

• Members में सभी सदस्यों और उनके भूमिका को देखना संभव है। ध्यान दें कि यदि योजना प्रकार एंटरप्राइज़ नहीं है, तो केवल 2 भूमिकाएँ मौजूद हैं: Administrator और Super Administrator। लेकिन यदि उपयोग की गई योजना एंटरप्राइज़ है, तो अधिक भूमिकाएँ का उपयोग न्यूनतम विशेषाधिकार सिद्धांत का पालन करने के लिए किया जा सकता है।

• इसलिए, जब भी संभव हो एंटरप्राइज़ योजना का उपयोग करने की सिफारिश की जाती है।

• Members में यह जांचना संभव है कि किस सदस्य ने 2FA सक्षम किया है। हर उपयोगकर्ता को इसे सक्षम करना चाहिए।

DDoS Investigation

इस भाग की जांच करें।