Cloudflare Security

Reading time: 6 minutes

In un account Cloudflare ci sono alcune impostazioni generali e servizi che possono essere configurati. In questa pagina analizzeremo le impostazioni relative alla sicurezza di ciascuna sezione:

Siti Web

Esamina ciascuno con:

Cloudflare Domains

Registrazione del Dominio

• In Transfer Domains controlla che non sia possibile trasferire alcun dominio.

Esamina ciascuno con:

Cloudflare Domains

Analisi

Non sono riuscito a trovare nulla da controllare per una revisione della sicurezza della configurazione.

Pagine

Su ciascuna pagina di Cloudflare:

• Controlla le informazioni sensibili nel Build log.
• Controlla le informazioni sensibili nel repository Github assegnato alle pagine.
• Controlla il potenziale compromesso del repository github tramite workflow command injection o compromesso di pull_request_target. Maggiori informazioni nella pagina di sicurezza di Github.
• Controlla le funzioni vulnerabili nella directory /fuctions (se presenti), controlla i redirect nel file _redirects (se presenti) e gli header mal configurati nel file _headers (se presenti).
• Controlla le vulnerabilità nella pagina web tramite blackbox o whitebox se puoi accedere al codice.
• Nei dettagli di ciascuna pagina /<page_id>/pages/view/blocklist/settings/functions. Controlla le informazioni sensibili nelle Environment variables.
• Nella pagina dei dettagli controlla anche il build command e la root directory per potenziali iniezioni che possano compromettere la pagina.

Workers

Su ciascun worker di Cloudflare controlla:

• I trigger: Cosa fa scattare il worker? Un utente può inviare dati che saranno utilizzati dal worker?
• Nelle Settings, controlla le Variables contenenti informazioni sensibili.
• Controlla il codice del worker e cerca vulnerabilità (soprattutto nei luoghi in cui l'utente può gestire l'input).
• Controlla per SSRF che restituiscono la pagina indicata che puoi controllare.
• Controlla XSS che eseguono JS all'interno di un'immagine svg.
• È possibile che il worker interagisca con altri servizi interni. Ad esempio, un worker può interagire con un bucket R2 che memorizza informazioni ottenute dall'input. In tal caso, sarebbe necessario controllare quali capacità ha il worker sul bucket R2 e come potrebbe essere abusato dall'input dell'utente.

R2

Su ciascun bucket R2 controlla:

• Configura la CORS Policy.

Stream

TODO

Immagini

TODO

Centro Sicurezza

• Se possibile, esegui una scansione di Security Insights e una scansione di Infrastructure, poiché evidenzieranno informazioni interessanti dal punto di vista della sicurezza.
• Controlla solo queste informazioni per configurazioni di sicurezza errate e informazioni interessanti.

Turnstile

TODO

Zero Trust

Cloudflare Zero Trust Network

Redirects di Massa

• Controlla che le espressioni e i requisiti per i redirect abbiano senso.
• Controlla anche per endpoint nascosti sensibili che contengono informazioni interessanti.

Notifiche

• Controlla le notifiche. Queste notifiche sono raccomandate per la sicurezza:
• Usage Based Billing
• HTTP DDoS Attack Alert
• Layer 3/4 DDoS Attack Alert
• Advanced HTTP DDoS Attack Alert
• Advanced Layer 3/4 DDoS Attack Alert
• Flow-based Monitoring: Volumetric Attack
• Route Leak Detection Alert
• Access mTLS Certificate Expiration Alert
• SSL for SaaS Custom Hostnames Alert
• Universal SSL Alert
• Script Monitor New Code Change Detection Alert
• Script Monitor New Domain Alert
• Script Monitor New Malicious Domain Alert
• Script Monitor New Malicious Script Alert
• Script Monitor New Malicious URL Alert
• Script Monitor New Scripts Alert
• Script Monitor New Script Exceeds Max URL Length Alert
• Advanced Security Events Alert
• Security Events Alert
• Controlla tutte le destinazioni, poiché potrebbero esserci informazioni sensibili (autenticazione http di base) negli URL dei webhook. Assicurati anche che gli URL dei webhook utilizzino HTTPS.
• Come controllo extra, potresti provare a impersonare una notifica di cloudflare a una terza parte, magari puoi in qualche modo iniettare qualcosa di pericoloso.

Gestisci Account

• È possibile vedere le ultime 4 cifre della carta di credito, il tempo di scadenza e l'indirizzo di fatturazione in Billing -> Payment info.
• È possibile vedere il tipo di piano utilizzato nell'account in Billing -> Subscriptions.
• In Members è possibile vedere tutti i membri dell'account e il loro ruolo. Nota che se il tipo di piano non è Enterprise, esistono solo 2 ruoli: Amministratore e Super Amministratore. Ma se il piano utilizzato è Enterprise, più ruoli possono essere utilizzati per seguire il principio del minimo privilegio.
• Pertanto, ogni volta che è possibile è raccomandato utilizzare il piano Enterprise.
• In Members è possibile controllare quali membri hanno 2FA abilitato. Ogni utente dovrebbe averlo abilitato.

Indagine DDoS

Controlla questa parte.