Segurança do Cloudflare

Reading time: 6 minutes

Em uma conta do Cloudflare, existem algumas configurações gerais e serviços que podem ser configurados. Nesta página, vamos analisar as configurações relacionadas à segurança de cada seção:

Websites

Revise cada um com:

Cloudflare Domains

Registro de Domínio

• Em Transfer Domains, verifique se não é possível transferir nenhum domínio.

Revise cada um com:

Cloudflare Domains

Análises

Eu não consegui encontrar nada para verificar em uma revisão de segurança de configuração.

Páginas

Em cada página do Cloudflare:

• Verifique se há informações sensíveis no Build log.
• Verifique se há informações sensíveis no repositório do Github atribuído às páginas.
• Verifique se há potencial comprometimento do repositório do github via injeção de comando de workflow ou comprometimento de pull_request_target. Mais informações na página de Segurança do Github.
• Verifique se há funções vulneráveis no diretório /fuctions (se houver), verifique os redirecionamentos no arquivo _redirects (se houver) e cabeçalhos mal configurados no arquivo _headers (se houver).
• Verifique se há vulnerabilidades na página da web via blackbox ou whitebox se você puder acessar o código.
• Nos detalhes de cada página /<page_id>/pages/view/blocklist/settings/functions. Verifique se há informações sensíveis nas Variáveis de Ambiente.
• Na página de detalhes, verifique também o comando de build e o diretório raiz para potenciais injeções que possam comprometer a página.

Workers

Em cada worker do Cloudflare, verifique:

• Os gatilhos: O que faz o worker ser acionado? Um usuário pode enviar dados que serão usados pelo worker?
• Nas Configurações, verifique se há Variáveis contendo informações sensíveis.
• Verifique o código do worker e procure por vulnerabilidades (especialmente em lugares onde o usuário pode gerenciar a entrada).
• Verifique SSRFs retornando a página indicada que você pode controlar.
• Verifique XSSs executando JS dentro de uma imagem svg.
• É possível que o worker interaja com outros serviços internos. Por exemplo, um worker pode interagir com um bucket R2 armazenando informações obtidas da entrada. Nesse caso, seria necessário verificar quais capacidades o worker tem sobre o bucket R2 e como isso poderia ser abusado a partir da entrada do usuário.

R2

Em cada bucket R2, verifique:

• Configure a Política de CORS.

Stream

TODO

Imagens

TODO

Centro de Segurança

• Se possível, execute uma varredura de Security Insights e uma varredura de Infrastructure, pois elas destacarão informações interessantes em termos de segurança.
• Apenas verifique essas informações para configurações de segurança inadequadas e informações interessantes.

Turnstile

TODO

Zero Trust

Cloudflare Zero Trust Network

Redirecionamentos em Massa

• Verifique se as expressões e requisitos para redirecionamentos fazem sentido.
• Verifique também se há endpoints ocultos sensíveis que contenham informações interessantes.

Notificações

• Verifique as notificações. Essas notificações são recomendadas para segurança:
• Uso Baseado em Cobrança
• Alerta de Ataque DDoS HTTP
• Alerta de Ataque DDoS Camada 3/4
• Alerta de Ataque DDoS HTTP Avançado
• Alerta de Ataque DDoS Camada 3/4 Avançado
• Monitoramento Baseado em Fluxo: Ataque Volumétrico
• Alerta de Detecção de Vazamento de Rota
• Alerta de Expiração de Certificado mTLS de Acesso
• Alerta de SSL para Nomes de Host Personalizados SaaS
• Alerta de SSL Universal
• Alerta de Detecção de Nova Mudança de Código no Monitor de Script
• Alerta de Novo Domínio no Monitor de Script
• Alerta de Novo Domínio Malicioso no Monitor de Script
• Alerta de Novo Script Malicioso no Monitor de Script
• Alerta de Nova URL Maliciosa no Monitor de Script
• Alerta de Novos Scripts no Monitor de Script
• Alerta de Novo Script Excede o Comprimento Máximo da URL no Monitor de Script
• Alerta de Eventos de Segurança Avançados
• Alerta de Eventos de Segurança
• Verifique todos os destinos, pois pode haver informações sensíveis (autenticação http básica) nas URLs de webhook. Certifique-se também de que as URLs de webhook usem HTTPS.
• Como verificação extra, você pode tentar impersonar uma notificação do cloudflare para um terceiro, talvez você consiga injetar algo perigoso de alguma forma.

Gerenciar Conta

• É possível ver os últimos 4 dígitos do cartão de crédito, o tempo de expiração e o endereço de cobrança em Billing -> Payment info.
• É possível ver o tipo de plano usado na conta em Billing -> Subscriptions.
• Em Members, é possível ver todos os membros da conta e seu papel. Note que, se o tipo de plano não for Enterprise, existem apenas 2 papéis: Administrador e Super Administrador. Mas se o plano utilizado for Enterprise, mais papéis podem ser usados para seguir o princípio do menor privilégio.
• Portanto, sempre que possível, é recomendado usar o plano Enterprise.
• Em Membros, é possível verificar quais membros têm 2FA habilitado. Todo usuário deve tê-lo habilitado.

Investigação de DDoS

Verifique esta parte.