我了解CloudFlare可以保护您的应用免受SQL和XSS注入等攻击。但是操作系统和Web服务器呢?
例如,如果我的网站托管在IIS / Windows上,CloudFlare是否还可以防止我服务器上的操作系统漏洞和/或IIS漏洞?
答案 0 :(得分:1)
CloudFlare保护以Web Application Firewall(WAF)的形式出现。这(目前)可用于所有付费计划用户。 WAF根据CloudFlare和网站所有者定义的某些规则扫描所有Web请求。这些规则适用于在网站代码或软件中未受到保护的情况下防止某些编码和应用程序漏洞。
虽然CloudFlare已阻止某些漏洞,例如CVE-2015-1635和Shellshock。这些都是可以通过HTTP请求利用的漏洞。
如果您的服务器或操作系统或软件的漏洞与Web请求不直接对应,则CloudFlare可能不会对阻止它感兴趣。
还应该注意的是,CloudFlare并非实际修复服务器上的漏洞,而是阻止任何明显试图利用漏洞的CloudFlare发出的请求。您应该始终尝试尽快修补此漏洞。
简而言之: 如果可以通过常见的HTTP请求利用漏洞,CloudFlare可能会阻止它。 CloudFlare可能会忽略所有其他漏洞,因为它们无法首先阻止它们。