클라우드플레어 계정에는 구성할 수 있는 몇 가지 일반 설정 및 서비스가 있습니다. 이 페이지에서는 각 섹션의 보안 관련 설정을 분석할 것입니다:

웹사이트

각각을 다음과 함께 검토하십시오:

도메인 등록

• **도메인 이전**에서 어떤 도메인도 이전할 수 없는지 확인하세요.

각각을 다음과 함께 검토하십시오:

분석

구성 보안 검토를 위해 확인할 항목을 찾지 못했습니다.

페이지

각 클라우드플레어 페이지에서:

• **빌드 로그**에서 민감한 정보를 확인하세요.

• 페이지에 할당된 Github 저장소에서 민감한 정보를 확인하세요.

• 워크플로우 명령 삽입 또는 pull_request_target 침해를 통한 잠재적인 github 저장소 침해를 확인하세요. 자세한 내용은 Github 보안 페이지에서 확인하세요.

• /fuctions 디렉토리(있는 경우)의 취약한 기능, _redirects 파일(있는 경우)의 리다이렉트 및 _headers 파일(있는 경우)의 구성되지 않은 헤더를 확인하세요.

• 웹 페이지의 취약점을 블랙박스 또는 화이트박스를 통해 확인하세요(코드에 액세스할 수 있는 경우)

• 각 페이지의 세부 정보 /<page_id>/pages/view/blocklist/settings/functions. **환경 변수**에서 민감한 정보를 확인하세요.

• 세부 페이지에서 빌드 명령 및 루트 디렉토리를 확인하여 페이지를 침해할 잠재적인 삽입을 확인하세요.

워커

각 클라우드플레어 워커에서 확인하세요:

• 트리거: 워커를 트리거하는 것은 무엇인가요? 사용자가 보낼 데이터가 워커에서 사용될 수 있나요?

• **설정**에서 민감한 정보를 포함하는 **변수**를 확인하세요.

• 워커의 코드를 확인하고 취약점을 검색하세요(특히 사용자가 입력을 관리할 수 있는 곳에서)

• 제어할 수 있는 지시된 페이지를 반환하는 SSRFs를 확인하세요

• SVG 이미지 내에서 JS를 실행하는 XSSs를 확인하세요

R2

할 일

스트림

할 일

이미지

할 일

보안 센터

• 가능한 경우 보안 인사이트 스캔 및 인프라 스캔을 실행하여 보안 관련 흥미로운 정보를 강조합니다.

• 보안 구성 오류 및 흥미로운 정보를 확인하세요

Turnstile

할 일

제로 트러스트

대량 리디렉션

• 리디렉션을 위한 표현식 및 요구 사항이 유효한지 확인하세요.

• 흥미로운 정보를 포함하는 민감한 숨겨진 엔드포인트를 확인하세요.

알림

• 알림을 확인하세요. 이러한 알림은 보안을 위해 권장됩니다:

• 사용량 기반 요금 청구

• HTTP DDoS 공격 경고

• 레이어 3/4 DDoS 공격 경고

• 고급 HTTP DDoS 공격 경고

• 고급 레이어 3/4 DDoS 공격 경고

• 흐름 기반 모니터링: 부피 공격

• 경로 누출 감지 경고

• 액세스 mTLS 인증서 만료 경고

• SaaS 사용자 정의 호스트 이름을 위한 SSL 경고

• Universal SSL 경고

• 스크립트 모니터 새 코드 변경 감지 경고

• 스크립트 모니터 새 도메인 경고

• 스크립트 모니터 새 악의적 도메인 경고

• 스크립트 모니터 새 악의적 스크립트 경고

• 스크립트 모니터 새 악의적 URL 경고

• 스크립트 모니터 새 스크립트 경고

• 스크립트 모니터 새 스크립트가 최대 URL 길이를 초과하는 경고

• 고급 보안 이벤트 경고

• 보안 이벤트 경고

• 모든 대상을 확인하세요. 웹훅 URL에 민감한 정보(기본 http 인증)가 포함될 수 있습니다. 또한 웹훅 URL이 HTTPS를 사용하는지 확인하세요.

• 추가로, 클라우드플레어 알림을 흉내내어 제3자에게 전송해볼 수 있습니다. 어떻게든 위험한 것을 삽입할 수 있을지도 모릅니다.

계정 관리

• **결제 정보**에서 신용 카드의 마지막 4자리, 만료 시간 및 청구 주소를 볼 수 있습니다.

• **결제 -> 구독**에서 계정에 사용된 요금제 유형을 확인할 수 있습니다.

• **멤버**에서 계정의 모든 멤버와 그들의 역할을 확인할 수 있습니다. 요금제 유형이 Enterprise가 아닌 경우, 관리자 및 슈퍼 관리자 두 가지 역할만 존재합니다. 그러나 사용된 요금제가 Enterprise인 경우, 더 많은 역할을 사용하여 최소 권한 원칙을 준수할 수 있습니다.

• 따라서 가능한 경우 Enterprise 요금제를 사용하는 것이 권장됩니다.

• 멤버에서 2단계 인증(2FA)이 활성화된 멤버를 확인할 수 있습니다. 모든 사용자가 활성화해야 합니다.

## DDoS 조사

이 부분을 확인하십시오.