Cloudflare Security

Cloudflareアカウントには、設定可能な一般設定とサービスがあります。このページでは、各セクションのセキュリティ関連設定を分析します。

Websites

以下を確認：

Domain Registration

• **Transfer Domains**で、ドメインの転送が不可能であることを確認。

以下を確認：

Analytics

設定セキュリティレビューのために確認するものは見つかりませんでした。

Pages

各Cloudflareのページで：

• Build logに機密情報がないか確認。

• ページに割り当てられたGithubリポジトリに機密情報がないか確認。

• workflow command injectionやpull_request_targetの脆弱性を通じたGithubリポジトリの侵害の可能性を確認。詳細はGithub Security pageで。

• /fuctionsディレクトリ内の脆弱な関数、_redirectsファイル内のリダイレクト、_headersファイル内の誤設定されたヘッダーを確認。

• コードにアクセスできる場合、blackboxまたはwhiteboxを通じてウェブページの脆弱性を確認。

• 各ページの詳細/<page_id>/pages/view/blocklist/settings/functionsで、Environment variablesに機密情報がないか確認。

• 詳細ページでビルドコマンドとルートディレクトリを確認し、ページを侵害する可能性のあるインジェクションを確認。

Workers

各Cloudflareのworkerで確認：

• トリガー：workerをトリガーするものは何か？ユーザーがデータを送信し、それがworkerによって使用されるか？

• Settingsで、Variablesに機密情報が含まれていないか確認。

• workerのコードを確認し、脆弱性を探す（特にユーザーが入力を管理できる場所）。

• 指定されたページを返すSSRFを確認。

• svg画像内でJSを実行するXSSを確認。

• workerが他の内部サービスとやり取りする可能性がある。例えば、workerがR2バケットとやり取りし、入力から得た情報を保存する場合、そのworkerがR2バケットに対してどのような権限を持っているか、ユーザー入力からどのように悪用できるかを確認する必要がある。

R2

各R2バケットで確認：

• CORSポリシーを設定。

Stream

TODO

Images

TODO

Security Center

• 可能であれば、Security Insights スキャンおよび**Infrastructure** スキャンを実行し、セキュリティに関する興味深い情報をハイライトします。

• セキュリティの誤設定や興味深い情報についてこの情報を確認。

Turnstile

TODO

Zero Trust

Bulk Redirects

• リダイレクトの表現と要件が意味をなしていることを確認。

• 機密の隠しエンドポイントが興味深い情報を含んでいないかも確認。

Notifications

• 通知を確認。これらの通知はセキュリティのために推奨されます：

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• 宛先をすべて確認。webhookのURLに機密情報（基本的なhttp認証）が含まれている可能性がある。webhookのURLがHTTPSを使用していることも確認。

• 追加のチェックとして、cloudflareの通知を第三者に偽装し、何か危険なものを注入できるかどうかを確認する。

Manage Account

• Billing -> Payment infoで、クレジットカードの最後の4桁、有効期限、請求先住所を確認できる。

• Billing -> Subscriptionsで、アカウントで使用されているプランタイプを確認できる。

• Membersで、アカウントのすべてのメンバーとその役割を確認できる。プランタイプがEnterpriseでない場合、存在する役割は2つのみ：AdministratorとSuper Administrator。しかし、使用されているプランがEnterpriseの場合、より多くの役割を使用して最小特権の原則に従うことができる。

• したがって、可能な限りEnterpriseプランを使用することが推奨される。

• Membersで、2FAを有効にしているメンバーを確認できる。すべてのユーザーが有効にしているべき。

DDoS Investigation

この部分を確認。