Cloudflare Security
Cloudflareアカウントには、設定できる一般的な設定とサービスがあります。このページでは、各セクションのセキュリティ関連設定を分析します。
ウェブサイト
以下を確認してください:
pageCloudflare Domainsドメイン登録
**
Transfer Domains
**で、どのドメインも転送できないことを確認してください。
以下を確認してください:
pageCloudflare Domainsアナリティクス
構成セキュリティレビューのためのチェック項目が見つかりませんでした。
ページ
各Cloudflareのページで:
Build log
に機密情報がないかを確認してください。ページに割り当てられたGithubリポジトリに機密情報がないかを確認してください。
ワークフローコマンドインジェクションや
pull_request_target
の妥協を通じて潜在的なgithubリポジトリの侵害をチェックしてください。詳細はGithubセキュリティページを参照してください。/fuctions
ディレクトリ(あれば)の脆弱な機能、_redirects
ファイル(あれば)のリダイレクト、_headers
ファイル(あれば)の設定ミスをチェックしてください。Webページの脆弱性を、コードにアクセスできる場合はblackboxまたはwhiteboxでチェックしてください。
各ページの詳細
/<page_id>/pages/view/blocklist/settings/functions
で、Environment variables
に機密情報がないかを確認してください。詳細ページでビルドコマンドとルートディレクトリをチェックし、ページを妥協させるための潜在的なインジェクションを確認してください。
ワーカー
各Cloudflareのワーカーで以下をチェックしてください:
トリガー:ワーカーをトリガーするものは何ですか?ユーザーが送信したデータがワーカーによって使用される可能性がありますか?
**
Settings
で、機密情報を含むVariables
**をチェックしてください。ワーカーのコードをチェックし、脆弱性を検索してください(特にユーザーが入力を管理できる場所)。
制御できる指定されたページを返すSSRFをチェックしてください
SVG画像内でJSを実行するXSSをチェックしてください
デフォルトでは、ワーカーには <worker-name>.<account>.workers.dev
などのURLが割り当てられます。ユーザーはサブドメインに設定できますが、その元のURLを知っていれば常にアクセスできます。
R2
TODO
Stream
TODO
画像
TODO
セキュリティセンター
可能であれば、
Security Insights
スキャンと**Infrastructure
** スキャンを実行してください。これにより、セキュリティに関連する興味深い情報が強調されます。セキュリティのミス構成と興味深い情報を確認してください
Turnstile
TODO
ゼロトラスト
pageCloudflare Zero Trust Network一括リダイレクト
Bulk Redirectsは、Dynamic Redirectsとは異なり、基本的に静的です。文字列の置換操作や正規表現をサポートしません。ただし、URLリダイレクトパラメータを構成して、URLの一致動作とランタイム動作に影響を与えることができます。
リダイレクトの式と要件が適切かを確認してください。
興味深い情報を含む機密な隠されたエンドポイントもチェックしてください。
通知
通知をチェックしてください。これらの通知はセキュリティ上推奨されます:
Usage Based Billing
HTTP DDoS Attack Alert
Layer 3/4 DDoS Attack Alert
Advanced HTTP DDoS Attack Alert
Advanced Layer 3/4 DDoS Attack Alert
Flow-based Monitoring: Volumetric Attack
Route Leak Detection Alert
Access mTLS Certificate Expiration Alert
SSL for SaaS Custom Hostnames Alert
Universal SSL Alert
Script Monitor New Code Change Detection Alert
Script Monitor New Domain Alert
Script Monitor New Malicious Domain Alert
Script Monitor New Malicious Script Alert
Script Monitor New Malicious URL Alert
Script Monitor New Scripts Alert
Script Monitor New Script Exceeds Max URL Length Alert
Advanced Security Events Alert
Security Events Alert
すべての宛先をチェックしてください。Webhook URLに機密情報(基本的なhttp認証)が含まれている可能性があります。Webhook URLがHTTPSを使用していることも確認してください。
追加のチェックとして、クラウドフレア通知を第三者になりすますことができます。何か危険なものを注入する方法があるかもしれません。
アカウントの管理
**
Billing
->Payment info
**で、クレジットカードの最後の4桁、有効期限、請求先住所を確認できます。Billing
->Subscriptions
で、アカウントで使用されているプランタイプを確認できます。Members
では、アカウントのすべてのメンバーとその役割を確認できます。プランタイプがエンタープライズでない場合、管理者とスーパー管理者の2つの役割しか存在しません。ただし、使用されているプランがエンタープライズの場合、さらに多くの役割を使用して最小特権の原則に従うことができます。したがって、可能な限りエンタープライズプランを使用することが推奨されます。
Membersで、どのメンバーが2要素認証を有効にしているかを確認できます。すべてのユーザーに有効にしてください。
幸いなことに、**Administrator
**の役割はメンバーシップの管理権限を与えません(特権の昇格や新しいメンバーの招待はできません)
## DDoS調査
最終更新