2025 年 8 月 14 日,百度云防护 Web 应用防火墙(WAF)发布重要规则更新,针对 suo5 HTTP 代理隧道工具、reDuh 代理隧道 WebShell、reGeorg 代理隧道 WebShell 的拦截防护能力正式上线,进一步完善 Web 应用安全防御体系。
一、suo5 HTTP 代理隧道工具拦截防护
suo5 HTTP 代理隧道工具是一种利用 HTTP 协议构建隐蔽通信通道的工具。不法分子可通过它,在常规网络检测难以察觉的情况下,建立从攻击端到目标 Web 服务器的通信链路。百度云防护 WAF 此次更新,深度解析 suo5 工具的通信特征,包括特定的 HTTP 请求头格式、数据传输模式等。当检测到符合 suo5 工具特征的网络流量时,WAF 会立即识别并拦截,阻止攻击者借助该工具绕过安全策略,非法访问目标 Web 应用、窃取敏感数据或进行其他恶意操作。
二、reDuh 代理隧道 WebShell 拦截防护
reDuh 是一款典型的代理隧道 WebShell,一旦被植入目标 Web 服务器,攻击者就能通过它远程控制服务器,执行命令、上传下载文件等。百度云防护 WAF 针对 reDuh 的运行机制和特征进行了细致研究,其会重点监测带有 reDuh 特征的 Web 请求,比如特定的参数传递、特殊的文件操作行为以及异常的命令执行请求等。当发现这类可疑操作时,WAF 会迅速拦截,切断攻击者对服务器的控制通道,防止服务器被进一步破坏或沦为攻击跳板。
三、reGeorg 代理隧道 WebShell 拦截防护
reGeorg 同样是危害极大的代理隧道 WebShell,它能将目标服务器的端口映射到攻击者可访问的端口,使攻击者能以更隐蔽的方式访问服务器内部服务。百度云防护 WAF 此次更新精准捕捉 reGeorg 的特征,对涉及端口映射、反向代理等相关的网络行为进行严格检测。一旦检测到符合 reGeorg 特征的操作,WAF 会立即阻断,有效阻止攻击者利用该工具进行内网渗透等更具破坏性的攻击活动。
此次百度云防护 Web 应用防火墙的规则更新,精准聚焦当下 Web 安全领域中代理隧道类攻击工具的威胁,通过对这些工具通信特征与行为模式的深度识别和拦截,为企业 Web 应用打造了更严密的安全防线,助力企业有效抵御各类基于代理隧道的 Web 攻击,保障业务系统的稳定运行与数据安全。
