2026 年 6 月 9 日,百度云防护 WAF 内置规则库再次迎来重磅升级。本次更新新增及优化了 超过 60 条 安全规则,累计内置规则总数突破 1100 条。新规则重点覆盖 路由器、网络摄像头、IoT 设备、OA 系统、CMS 框架 等场景的命令注入、代码执行、SQL 注入、SSRF、文件上传等高危漏洞。无论你的网站是使用 WordPress、ThinkPHP,还是企业内部部署了网络设备,百度云防护都能在官方补丁发布前,为你提供“虚拟补丁”级的即时防护。本文详细梳理本次新增规则的漏洞类型及防护价值。
一、 更新概览:六大攻击类型全覆盖
本次新增规则涵盖以下攻击类型:
| 防护类型 | 新增规则数量 | 典型漏洞示例 |
|---|---|---|
| 命令执行 | 约 30 条 | CVE-2018-16752(路由器命令注入)、CVE-2023-6895(海康威视 ping.php) |
| SQL 注入 | 约 10 条 | CVE-2024-52725(SemCms)、CVE-2022-39986(RaspAP) |
| 代码执行(RCE) | 约 8 条 | CVE-2023-33629(H3C Magic R300)、CVE-2023-30258(MagnusBilling) |
| SSRF 服务端请求伪造 | 约 6 条 | Gopher 协议构造 SMTP/Redis 攻击、Dict/SFTP 协议探测 |
| 文件上传/读取 | 约 8 条 | 圣乔ERP、万户OA、汉王e脸通等任意文件上传漏洞 |
| 路径遍历/信息泄露 | 约 4 条 | CVE-2021-20090(Buffalo 路由器)、CVE-2023-43261(Milesight) |
本文仅列出部分代表性漏洞,完整规则列表请登录百度云防护控制台查看。
二、 路由器/网关/IoT 设备命令注入(高风险)
本次更新重点针对大量路由器、网关、摄像头等网络边缘设备,攻击者可利用命令注入漏洞直接获取设备 root 权限,进而控制整个内网。
代表性漏洞规则:
| 规则ID | 漏洞描述 | 影响设备 |
|---|---|---|
| 4406 | CVE-2018-16752:LINK-NET LW-N605R 路由器命令注入 | LINK-NET 路由器 |
| 4405 | CVE-2023-26801:LB-LINK set_LimitClient_cfg 接口命令注入 | LB-LINK 产品 |
| 4404 | CVE-2020-8515:Draytek 企业网络设备命令注入 | Draytek 设备 |
| 4402 | CVE-2018-10562:Dasan GPON 路由器命令注入 | GPON 路由器 |
| 4401 | CVE-2022-2486:Wavlink WN535K2/K3 命令注入 | Wavlink 路由器 |
| 4399 | D-Link DNS 设备 sc_mgr.cgi 远程命令执行 | D-Link DNS 设备 |
| 4398 | CVE-2020-25506:D-Link DNS-320 命令注入 | D-Link NAS |
| 4408 | CVE-2023-25717:Ruckus Wireless SmartZone 代码注入 | Ruckus 无线控制器 |
| 4407 | CVE-2023-33629:H3C Magic R300-2100M 远程代码执行 | H3C 路由器 |
| 4411 | CVE-2023-6895:海康威视 IP ping.php 命令执行 | 海康威视 IP 设备 |
| 4448 | Tiandy 综合管理平台前台命令执行 | Tiandy 安防平台 |
| 4451 | CVE-2023-1698:WAGO 设备远程命令执行 | WAGO PLC |
防护价值:这些设备通常暴露在公网且固件更新滞后,WAF 规则可在网络层直接阻断恶意 payload,无需升级设备。
三、 SQL 注入漏洞(含时间盲注、带外通信)
本次新增多条 SQL 注入规则,覆盖多种数据库类型和绕过手法。
| 规则ID | 漏洞描述 | 技术特点 |
|---|---|---|
| 4431 | PowerCreator CatalogCourse.aspx SQL 注入 | 教育平台漏洞 |
| 4432 | 赛普 EAP 企业适配管理平台 AppData.ashx SQL 注入 | ERP 系统 |
| 4433 | 博斯外贸管理软件 DCreceiveBox.jsp SQL 注入 | 外贸软件 |
| 4434 | CVE-2024-52725:SemCms v4.8 SEO 参数 SQL 注入 | CMS 系统 |
| 4436 | Oracle SQL Bypass 注入检测 | 通用 Oracle 绕过 |
| 4438 | MySQL FROM_BASE64 解码执行 SQL 注入 | 带外通信攻击检测 |
| 4439 | MySQL BENCHMARK 时间盲注 | 延时注入检测 |
| 4453 | CVE-2022-39986:RaspAP 命令注入 | 无线 AP 管理面板 |
四、 服务端请求伪造(SSRF)与协议滥用
SSRF 攻击可让服务器向内网发起请求,本次新增多条针对 Gopher、Dict、SFTP 等协议的检测规则。
| 规则ID | 规则描述 |
|---|---|
| 4413 | 检测利用 Gopher 协议构造 SMTP 邮件发送的 SSRF 攻击 |
| 4414 | 通过 Gopher 协议利用 Memcached 进行 PHP 反序列化攻击 |
| 4415 | 检测利用 Gopher 协议发起的 HTTP SSRF 攻击 |
| 4416 | 检测利用 Gopher 协议注入 Redis 命令(flushall、config set、save) |
| 4417 | 检测利用 dict/sftp 协议进行 SSRF 攻击 |
防护价值:SSRF 攻击常被用于内网探测、云元数据窃取。这些规则可精准识别并阻断利用特殊协议的恶意请求。
五、 文件上传与任意文件读取(Getshell 类)
攻击者通过文件上传漏洞可直接获取服务器权限。本次新增多条针对国内主流 OA/ERP 系统的上传漏洞检测。
| 规则ID | 漏洞描述 |
|---|---|
| 4425 | 汉王 e 脸通综合管理平台 updateVisitorMapConfig.do 任意文件上传 |
| 4426 | 章管家印章管理系统任意文件上传 |
| 4427 | 万户 OA defaultroot/platform/portal/layout/common/upload.jsp 任意文件上传 |
| 4428 | 圣乔 ERP 系统 uploadFile 文件上传 |
| 4429 | 浙江深大智能管控平台任意文件上传(WebShell 检测) |
| 4430 | 上海淼慎电子商务 IM 即时通讯系统 preview.php 前台任意文件上传 |
| 4419 | 通过 rar 协议进行本地文件包含(LFI)攻击 |
| 4420 | 通过 zip 伪协议进行 LFI 攻击 |
| 4421 | 通过 expect 协议进行文件包含并执行命令 |
| 4435 | 利用 phar 协议进行的文件包含攻击 |
六、 模板注入(SSTI)与代码执行
| 规则ID | 漏洞描述 |
|---|---|
| 4422 | Thymeleaf 模板注入导致的恶意代码执行 |
| 4423 | Java SSTI 攻击中调用 java.lang.System.getenv() 获取环境变量 |
| 4424 | Exchange 服务器 WebShell 上传(Assembly.Load 的 ASPX 文件) |
| 4464 | Fastify @fastify-view 插件 EJS 模板远程代码执行 |
| 4466 | fuelCMS 1.4.1 远程代码执行(CVE-2018-16763) |
七、 其他重要规则(爬虫扫描、信息泄露等)
| 规则ID | 规则描述 |
|---|---|
| 4400 | 检测 Dlink 网关设备敏感信息泄露漏洞探测(CVE-2020-25078) |
| 4409 | 检测 Milesight 路由器信息泄露漏洞(CVE-2023-43261) |
| 4418 | 检测通过 HTTP 查询参数进行的远程文件包含(RFI)攻击 |
| 4440 | 检测通过反斜杠绕过的命令注入攻击 |
| 4442 | 检测通过反引号执行 ping 命令到 DNSLog 域名的攻击 |
| 4444 | 检测 WebShell 通过 cmd 参数执行系统命令并下载恶意挖矿脚本 |
八、 如何启用这些新规则?
如果你已接入百度云防护 WAF:
- 登录控制台 → 防护配置 → Web防护 → 内置规则。
- 确认 Web 基础防护 策略集为“中级”或“高级”(高级策略集会启用所有新规则)。
- 也可以按规则 ID 搜索(如 4406、4405 等),确认状态为“开启”,处置动作为“拦截”。
如果尚未接入百度云防护,欢迎联系 主机吧,我们提供免费安全评估和接入指导。
九、 总结
百度云防护 WAF 6 月 9 日的规则更新,覆盖了从家用路由器到企业级 OA 的广泛攻击面。无论你的网站运行 WordPress、ThinkPHP,还是企业内部网络设备暴露在公网,这些规则都能在攻击发生前将其拦截。定期关注规则库更新,并及时开启高级策略集,是保持网站安全的最佳实践。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次攻击都无功而返,让每一个网站都固若金汤。
