我们现在距离历史上最大、最严重的数据泄露事件已经过去3个月了，但它是否重新定义了人们的安全意识？答案绝对是肯定的，意识处于空前的高度。然而，意识并不总是能带来积极的行动。人们经常假设的谬论是"如果我的软件更新了所有的补丁，那就足够保证我的安全了？"。诚然，保持软件最新确实可以防御已知的漏洞，但这是一种非常被动的姿态。更重要的是防止未知。每个工程师都会同意的一点是，安全性很难，而维护系统则更加困难。修补或升级系统可能会导致不可预见的中断或由于可能应用的其他修复程序而出现意外行为。在大多数情况下，由于需要在登台环境中进行回归测试或部署，这可能会导致补丁或升级部署的巨大延迟。在遵循流程和进行测试的同时，系统很容易受到攻击，一旦暴露在互联网上，随时可能被利用。从更广阔的前景来看，安全研究的增加导致了CVE（常见漏洞和暴露）的激增。再加上GDPR、NIST和其他新的数据保护立法，企业现在不得不更加关注可能影响其软件的安全漏洞，并最终将其列入数据泄露受害者的名单中。统计来自cvedetails.com网站（2017年11月）在剖析Equifax惨案时，他在CEO的证词中提到，漏洞的原因是，公司内部只有一个人负责传达ApacheStruts补丁的可用性，而Apache Struts是此次漏洞的核心软件。从Equifax中学到的重要教训是，我们都是人，错误是可能发生的，但是让多个人负责沟通和通知团队有关威胁是至关重要的。在这个案例中，这个错误几乎摧毁了世界上最大的信贷机构之一。如何避免像Equifax这样的攻击和违规行为？首先是了解这些攻击是如何发生的。有一些关键的攻击通常是通过易受攻击的软件进行数据过滤的来源。远程代码执行（RCE）-这是在Equifax漏洞中使用的SQL注入（SQLi）提供隐藏在负载中的SQL语句，访问为网站供电的后端数据库。远程代码执行Struts漏洞CVE-2017-5638受到Cloudflare Specials中规则100054的保护，非常简单。在以web服务器为目标的有效负载中，可以执行特定的命令，可以在下面的示例中看到："(#上下文.setMemberAccess（#dm）））。""（#cmd='touch/tmp/hacked'）。""（#伊斯温=(@java.lang.System@getProperty（'操作系统名称'）.toLowerCase（）.contains（'win'）））。""（#cmds=（#iswin？{'命令提示符'，'/c'，#cmd}:{'/bin/bash'，'-c'，35; cmd}））。""（#p=新的java.lang.ProcessBuilder（#命令））。"然而，更关键的是，除了这个CVE之外，apachestruts还在今年早些时候宣布了另一个漏洞（CVE-2017-9805），该漏洞通过针对REST插件和Xstream处理程序（提供XML摄取功能）提供有效负载来工作。通过交付巧尽心思构建的XML有效负载，可以嵌入shell命令并将其执行。"触摸/tmp/黑客"。false测试结果：root@struts演示：~$ls/tmp砍root@struts演示:~$上周，我们在Cloudflare网络上看到了超过180000次针对apachestruts的WAF规则的点击。SQL注入SQL注入（SQLi）试图将邪恶的查询注入GET或POST动态变量，该变量用于查询数据库。Cloudflare每天都会在我们的网络上看到超过230万次的SQLi尝试。最常见的是，我们看到针对Wordpress站点的SQLi攻击，因为它是当今Cloudflare上使用的最大的web应用程序之一。Wordpress被一些世界巨头使用，比如索尼音乐，一直到"妈妈和流行"业务。作为这个领域的领导者，你面临的挑战是你会成为热门目标。在2017年即将结束之际查看CVE列表，在Wordpress的多个版本中发现了41个漏洞，这些漏洞将迫使人们升级到最新版本。为了保护我们的客户，并为他们争取时间升级，Cloudflare与许多供应商合作解决漏洞，然后使用我们的WAF进行虚拟修补，以防止这些漏洞被利用。SQL注入的工作方式是，当web应用程序需要数据库中的数据时，通过"中断"或错误设置查询格式。例如，忘记密码页面有一个电子邮件输入字段，用于验证用户名是否存在，如果存在，则向用户发送"忘记密码"链接。下面是一个简单的SQL查询示例，可以在web应用程序中使用：选择user，password FROM users WHERE user='约翰@史密斯';结果是：+------------+------------------------------+|用户|密码|+------------+------------------------------+| 约翰@史密斯|2年$10$h9XJRX.EBnGFrWQlnt... |+------------+------------------------------+如果没有正确的查询验证，攻击者可能会逃出此查询，并执行一些极其恶意的查询。例如，如果攻击者想要接管另一个用户的帐户，而攻击者发现查询验证不充分，他可以逃出查询，并将用户名（在本例中是电子邮件地址）更新为自己的帐户。这可以通过在email输入字段中输入下面的查询字符串而不是电子邮件地址来完成。dontcare@bla.com'；更新用户集user='机器人先生'WHERE user='约翰@史密斯’;由于缺乏验证，web应用程序发送到数据库的查询将是：选择user，password FROM users WHERE user='dontcare@bla.com'；更新用户集user='机器人先生'WHERE user='约翰@史密斯’;现在这个已经被更新，攻击者现在可以使用自己的电子邮件地址请求密码重置，从而获得对受害者帐户的访问权。+----------+------------------------------+|用户|密码|+----------+------------------------------+| 机器人先生|2年$10$h9XJRX.EBnGFrWQlnt... |+----------+------------------------------+许多SQLi攻击通常发生在通常不被认为是高风险的字段上，例如身份验证表单。为了正确看待SQLi攻击的严重性，在上周，我们看到了超过240万个匹配。Cloudflare WAF的构建不仅可以保护客户免受基于SQLi和RCE的攻击，还可以增强对跨站点脚本（XSS）和其他一些已知攻击的保护。平均每周，仅在我们的Cloudflare特价WAF规则集上，我们就可以看到超过1.38亿个匹配项。下一个重要的部分是沟通和意识；了解您安装了什么，正在运行什么版本，最重要的是，您的供应商发布了什么公告。一般来说，大多数通知都是通过电子邮件接收的，而且通常很难消化，不管它们的复杂性如何，尝试并理解它们是至关重要的。最后，最后一道防线是在应用程序前面提供保护，这是Cloudflare可以提供帮助的地方。在CuldFLARE，安全是我们价值观的核心，是我们建立的基础支柱之一。时至今日，我们仍然被认为是最具成本效益的方式之一，只需我们的专业计划（每月20美元）即可支持您的Web应用程序。