Cloudflare Security

Cloudflare 계정에는 구성할 수 있는 일반 설정 및 서비스가 있습니다. 이 페이지에서는 각 섹션의 보안 관련 설정을 분석할 것입니다:

Websites

다음을 검토하세요:

Domain Registration

• **Transfer Domains**에서 도메인을 전송할 수 없는지 확인하세요.

다음을 검토하세요:

Analytics

구성 보안 검토를 위한 항목을 찾을 수 없었습니다.

Pages

각 Cloudflare 페이지에서:

• **Build log**에서 민감한 정보를 확인하세요.

• 페이지에 할당된 Github repository에서 민감한 정보를 확인하세요.

• workflow command injection 또는 pull_request_target 취약점을 통한 github repo 손상 가능성을 확인하세요. 자세한 내용은 Github Security page에서 확인하세요.

• /fuctions 디렉토리(있는 경우)에서 취약한 함수를 확인하고, _redirects 파일(있는 경우)에서 리디렉션을 확인하며, _headers 파일(있는 경우)에서 잘못 구성된 헤더를 확인하세요.

• 코드에 접근할 수 있다면 blackbox 또는 whitebox를 통해 웹 페이지의 취약점을 확인하세요.

• 각 페이지의 /<page_id>/pages/view/blocklist/settings/functions 세부 정보에서 **Environment variables**에 민감한 정보가 있는지 확인하세요.

• 세부 정보 페이지에서 빌드 명령어와 루트 디렉토리를 확인하여 페이지를 손상시킬 수 있는 잠재적 인젝션을 확인하세요.

Workers

각 Cloudflare worker에서 확인하세요:

• 트리거: worker를 트리거하는 것은 무엇인가요? 사용자가 데이터를 전송하여 worker가 사용할 수 있나요?

• **Settings**에서 **Variables**에 민감한 정보가 포함되어 있는지 확인하세요.

• worker의 코드를 확인하고 취약점을 검색하세요(특히 사용자가 입력을 관리할 수 있는 부분).

• SSRF가 제어할 수 있는 페이지를 반환하는지 확인하세요.

• svg 이미지 내에서 JS를 실행하는 XSS를 확인하세요.

• worker가 다른 내부 서비스와 상호 작용할 수 있습니다. 예를 들어, worker가 입력에서 얻은 정보를 저장하는 R2 버킷과 상호 작용할 수 있습니다. 이 경우, worker가 R2 버킷에 대해 어떤 권한을 가지고 있는지와 사용자의 입력에서 어떻게 악용될 수 있는지 확인해야 합니다.

R2

각 R2 버킷에서 확인하세요:

• CORS Policy를 구성하세요.

Stream

TODO

Images

TODO

Security Center

• 가능하다면 Security Insights 스캔과 Infrastructure 스캔을 실행하세요. 이는 보안 측면에서 흥미로운 정보를 강조할 것입니다.

• 보안 잘못된 구성 및 흥미로운 정보를 확인하세요.

Turnstile

TODO

Zero Trust

Bulk Redirects

• 리디렉션의 표현식과 요구 사항이 타당한지 확인하세요.

• 민감한 숨겨진 엔드포인트를 확인하여 흥미로운 정보를 포함하고 있는지 확인하세요.

Notifications

• 알림을 확인하세요. 다음 알림은 보안을 위해 권장됩니다:

• Usage Based Billing

• HTTP DDoS Attack Alert

• Layer 3/4 DDoS Attack Alert

• Advanced HTTP DDoS Attack Alert

• Advanced Layer 3/4 DDoS Attack Alert

• Flow-based Monitoring: Volumetric Attack

• Route Leak Detection Alert

• Access mTLS Certificate Expiration Alert

• SSL for SaaS Custom Hostnames Alert

• Universal SSL Alert

• Script Monitor New Code Change Detection Alert

• Script Monitor New Domain Alert

• Script Monitor New Malicious Domain Alert

• Script Monitor New Malicious Script Alert

• Script Monitor New Malicious URL Alert

• Script Monitor New Scripts Alert

• Script Monitor New Script Exceeds Max URL Length Alert

• Advanced Security Events Alert

• Security Events Alert

• 모든 대상을 확인하세요. 웹훅 URL에 민감한 정보(기본 http 인증)가 있을 수 있습니다. 또한 웹훅 URL이 HTTPS를 사용하는지 확인하세요.

• 추가 확인으로, cloudflare 알림을 제3자에게 가장하여 위험한 것을 주입할 수 있는지 확인해보세요.

Manage Account

• **Billing -> Payment info**에서 신용카드 마지막 4자리, 만료 시간 및 청구 주소를 확인할 수 있습니다.

• **Billing -> Subscriptions**에서 계정에 사용된 플랜 유형을 확인할 수 있습니다.

• **Members**에서 계정의 모든 멤버와 그들의 역할을 확인할 수 있습니다. 플랜 유형이 Enterprise가 아닌 경우, 관리자와 슈퍼 관리자의 두 가지 역할만 존재합니다. 그러나 사용된 플랜이 Enterprise인 경우, 더 많은 역할을 사용하여 최소 권한 원칙을 따를 수 있습니다.

• 따라서 가능하다면 Enterprise 플랜을 사용하는 것이 권장됩니다.

• Members에서 2FA를 활성화한 멤버를 확인할 수 있습니다. 모든 사용자가 이를 활성화해야 합니다.

DDoS Investigation

이 부분을 확인하세요.