Cloudflare Security

Reading time: 5 minutes

Cloudflare 계정에는 구성할 수 있는 일반 설정 및 서비스가 있습니다. 이 페이지에서는 각 섹션의 보안 관련 설정을 분석할 것입니다:

Websites

각 항목을 검토하십시오:

Cloudflare Domains

Domain Registration

• **Transfer Domains**에서 어떤 도메인도 전송할 수 없는지 확인하십시오.

각 항목을 검토하십시오:

Cloudflare Domains

Analytics

구성 보안 검토를 위한 확인할 사항을 찾을 수 없었습니다.

Pages

각 Cloudflare 페이지에서:

• **Build log**에서 민감한 정보를 확인하십시오.
• 페이지에 할당된 Github repository에서 민감한 정보를 확인하십시오.
• workflow command injection 또는 pull_request_target 손상을 통한 잠재적인 github repo 손상을 확인하십시오. 자세한 내용은 Github Security page에서 확인하십시오.
• /fuctions 디렉토리(있는 경우)에서 취약한 함수를 확인하고, _redirects 파일(있는 경우)에서 리디렉션을 확인하며, _headers 파일(있는 경우)에서 잘못 구성된 헤더를 확인하십시오.
• 코드에 접근할 수 있는 경우 blackbox 또는 whitebox를 통해 웹 페이지의 취약점을 확인하십시오.
• 각 페이지의 세부정보 /<page_id>/pages/view/blocklist/settings/functions에서 **Environment variables**에 민감한 정보가 있는지 확인하십시오.
• 세부정보 페이지에서 빌드 명령과 루트 디렉토리를 확인하여 페이지를 손상시킬 수 있는 잠재적 주입을 확인하십시오.

Workers

각 Cloudflare 워커에서 확인하십시오:

• 트리거: 워커를 트리거하는 것은 무엇입니까? 사용자가 데이터를 보낼 수 있습니까? 이 데이터는 워커에 의해 사용됩니까?
• **Settings**에서 민감한 정보를 포함하는 **Variables**를 확인하십시오.
• 워커의 코드를 확인하고 취약점을 검색하십시오(특히 사용자가 입력을 관리할 수 있는 곳에서).
• 제어할 수 있는 페이지를 반환하는 SSRF를 확인하십시오.
• svg 이미지 내에서 JS를 실행하는 XSS를 확인하십시오.
• 워커가 다른 내부 서비스와 상호작용할 수 있습니다. 예를 들어, 워커는 입력에서 얻은 정보를 저장하는 R2 버킷과 상호작용할 수 있습니다. 이 경우, 워커가 R2 버킷에 대해 어떤 기능을 가지고 있으며 사용자의 입력으로부터 어떻게 남용될 수 있는지 확인해야 합니다.

R2

각 R2 버킷에서 확인하십시오:

• CORS 정책을 구성하십시오.

Stream

TODO

Images

TODO

Security Center

• 가능하다면 Security Insights 스캔과 Infrastructure 스캔을 실행하십시오. 이들은 보안 측면에서 흥미로운 정보를 강조할 것입니다.
• 보안 잘못 구성된 정보와 흥미로운 정보를 확인하십시오.

Turnstile

TODO

Zero Trust

Cloudflare Zero Trust Network

Bulk Redirects

• 리디렉션에 대한 표현식과 요구 사항이 합리적인지 확인하십시오.
• 또한 흥미로운 정보를 포함하는 민감한 숨겨진 엔드포인트를 확인하십시오.

Notifications

• 알림을 확인하십시오. 이러한 알림은 보안을 위해 권장됩니다:
• Usage Based Billing
• HTTP DDoS Attack Alert
• Layer 3/4 DDoS Attack Alert
• Advanced HTTP DDoS Attack Alert
• Advanced Layer 3/4 DDoS Attack Alert
• Flow-based Monitoring: Volumetric Attack
• Route Leak Detection Alert
• Access mTLS Certificate Expiration Alert
• SSL for SaaS Custom Hostnames Alert
• Universal SSL Alert
• Script Monitor New Code Change Detection Alert
• Script Monitor New Domain Alert
• Script Monitor New Malicious Domain Alert
• Script Monitor New Malicious Script Alert
• Script Monitor New Malicious URL Alert
• Script Monitor New Scripts Alert
• Script Monitor New Script Exceeds Max URL Length Alert
• Advanced Security Events Alert
• Security Events Alert
• 모든 대상을 확인하십시오. 웹훅 URL에 민감한 정보(기본 http 인증)가 있을 수 있습니다. 웹훅 URL이 HTTPS를 사용하는지 확인하십시오.
• 추가 확인으로, Cloudflare 알림을 제3자에게 가장해 보십시오. 어쩌면 위험한 것을 주입할 수 있을지도 모릅니다.

Manage Account

• **Billing -> Payment info**에서 신용 카드의 마지막 4자리, 만료 시간 및 청구 주소를 확인할 수 있습니다.
• **Billing -> Subscriptions**에서 계정에 사용된 요금제 유형을 확인할 수 있습니다.
• **Members**에서 계정의 모든 구성원과 그들의 역할을 확인할 수 있습니다. 요금제가 Enterprise가 아닌 경우, 두 가지 역할만 존재합니다: Administrator와 Super Administrator. 그러나 사용된 요금제가 Enterprise인 경우, 더 많은 역할을 사용하여 최소 권한 원칙을 따를 수 있습니다.
• 따라서 가능할 때마다 Enterprise 요금제를 사용하는 것이 권장됩니다.
• 구성원에서 2FA가 활성화된 구성원을 확인할 수 있습니다. 모든 사용자는 이를 활성화해야 합니다.

DDoS Investigation

이 부분을 확인하십시오.