Bir Cloudflare hesabında yapılandırılabilecek bazı genel ayarlar ve hizmetler bulunmaktadır. Bu sayfada her bölümün güvenlikle ilgili ayarlarını inceleyeceğiz:

Web Siteleri

Her biriyle ilgili olarak:

Alan Kaydı

• Alanları Transfer Et bölümünde herhangi bir alanın transfer edilemeyeceğini kontrol edin.

Her biriyle ilgili olarak:

Analitik

İncelemek için herhangi bir yapılandırma güvenlik incelemesi bulamadım.

Sayfalar

Her Cloudflare sayfasında:

• Build log içinde hassas bilgileri kontrol edin.

• Sayfalara atanan Github deposunda hassas bilgileri kontrol edin.

• Workflow komut enjeksiyonu veya pull_request_target kompromisine karşı potansiyel github repo kompromisini kontrol edin. Daha fazla bilgi için Github Güvenlik sayfasına bakın.

• /fuctions dizinindeki zafiyetli fonksiyonları, _redirects dosyasındaki yönlendirmeleri (varsa) ve _headers dosyasındaki hatalı yapılandırılmış başlıkları kontrol edin.

• Web sayfasındaki zafiyetleri siyah kutu veya beyaz kutu olarak kontrol edin, eğer koda erişebiliyorsanız

• Her sayfanın ayrıntılarında /<page_id>/pages/view/blocklist/settings/functions. bölümünde Çevre değişkenlerinde hassas bilgileri kontrol edin.

• Ayrıntılar sayfasında ayrıca derleme komutunu ve kök dizinini kontrol edin, sayfayı tehlikeye atmak için potansiyel enjeksiyonları kontrol edin.

Çalışanlar

Her bir Cloudflare çalışanında kontrol edin:

• Tetikleyiciler: Çalışanı tetikleyen şey nedir? Bir kullanıcı, çalışan tarafından kullanılacak veri gönderebilir mi?

• Ayarlar bölümünde, hassas bilgiler içeren Değişkenler kontrol edin.

• Çalışanın kodunu kontrol edin ve zafiyetleri arayın (özellikle kullanıcının girişimi yönetebileceği yerlerde)

• Kontrol edilebilen belirtilen sayfayı döndüren SSRF'leri kontrol edin

• JS'yi bir svg görüntüsü içinde çalıştıran XSS'leri kontrol edin

R2

TODO

Stream

TODO

Görseller

TODO

Güvenlik Merkezi

• Mümkünse, Güvenlik İncelemeleri taraması ve Altyapı taraması çalıştırın, çünkü bunlar ilginç bilgileri güvenlik açısından vurgulayacaktır.

• Güvenlik yanlış yapılandırmaları ve ilginç bilgiler için bu bilgileri kontrol edin

Turnstile

TODO

Sıfır Güven

Toplu Yönlendirmeler

• Yönlendirmeler için ifadeleri ve gereksinimleri kontrol edin, mantıklı olup olmadığını kontrol edin.

• Ayrıca, ilginç bilgiler içeren hassas gizli uç noktaları için kontrol edin.

Bildirimler

• Bildirimleri kontrol edin. Bu bildirimler güvenlik için önerilir:

• Kullanıma Dayalı Faturalandırma

• HTTP DDoS Saldırısı Uyarısı

• Katman 3/4 DDoS Saldırısı Uyarısı

• Gelişmiş HTTP DDoS Saldırısı Uyarısı

• Gelişmiş Katman 3/4 DDoS Saldırısı Uyarısı

• Akış Tabanlı İzleme: Hacimsel Saldırı

• Rota Sızıntısı Algılama Uyarısı

• Erişim mTLS Sertifika Süresi Uyarısı

• SaaS Özel Ana Bilgisayarı için SSL Uyarısı

• Evrensel SSL Uyarısı

• Komut İzleme Yeni Kod Değişikliği Algılama Uyarısı

• Komut İzleme Yeni Alan Adı Uyarısı

• Komut İzleme Yeni Kötü Amaçlı Alan Adı Uyarısı

• Komut İzleme Yeni Kötü Amaçlı Komut Uyarısı

• Komut İzleme Yeni Kötü Amaçlı URL Uyarısı

• Komut İzleme Yeni Komutlar Uyarısı

• Komut İzleme Yeni Komut Maksimum URL Uzunluğunu Aşıyor Uyarısı

• Gelişmiş Güvenlik Olayları Uyarısı

• Güvenlik Olayları Uyarısı

• Tüm hedefleri kontrol edin, çünkü webhook URL'lerinde hassas bilgiler (temel http kimlik doğrulaması) olabilir. Ayrıca webhook URL'lerinin HTTPS kullandığından emin olun

• Ek bir kontrol olarak, üçüncü bir tarafa bir Cloudflare bildirimi taklit etmeyi deneyebilirsiniz, belki de bir şekilde tehlikeli bir şey enjekte edebilirsiniz

Hesabı Yönet

• **Fatura -> `Ödeme

DDoS İncelemesi

Bu bölüme bakın.