一共209篇文章
专题:第2期
-
Thymeleaf模板注入漏洞:攻击者如何通过表达式执行系统命令?百度云防护规则4197精准拦截
当你在Spring Boot应用中使用了Thymeleaf模板引擎,却未对用户输入进行严格过滤时,攻击者可能通过注入恶意表达式,直接在你的服务器上执行任意命令。这就是Thymeleaf模板注入(SSTI)漏洞,一个可导致远程代码执行(RCE)的高危风险。百度云防护内置规则ID 4197,可实时检测并拦截此类攻击。 一、 什么是Thymeleaf模板注入漏洞? 1.1 漏洞原理 Thymeleaf是…...- 0
- 0
-
微信登录回调被WAF拦截?百度云防护白名单配置教程,一招解决跳转失败
很多网站为了提升用户体验,接入了微信扫码登录。但接入后却发现:用户扫码后,页面卡在“正在登录”,迟迟跳转不回来;或者偶尔成功、偶尔失败。排查半天,最后发现问题出在 WAF(Web应用防火墙) 上——微信回调服务器的请求被当作恶意流量拦截了。今天我们就来教你,如何通过百度云防护的白名单规则,精准放行微信登录回调,同时不影响整体安全防护。 一、 为什么微信登录会被WAF误拦? 微信登录的典型流程是: …...- 22
- 0
-
Oracle字段枚举注入:攻击者如何“猜”出你的数据库结构?百度云防护规则4198精准防御
当攻击者无法直接通过联合查询获取数据时,他们会换一种“笨办法”:逐个字符猜测表名、列名,直到拼凑出完整的数据库结构。这就是字段枚举注入,一种基于布尔盲注或时间盲注的精细攻击手法。在Oracle数据库中,攻击者常利用USER_TABLES、ALL_TAB_COLUMNS等数据字典视图,配合各种编码手段,一步步“剥开”你的数据库。今天我们就来深度解析这种攻击,并介绍百度云防护如何用规则ID 4198精…...- 9
- 0
-
百度云防护WAF 自定义规则「回源标记」使用场景与操作教程
一、功能概述 「回源标记」是百度云 Web 应用防火墙(WAF)自定义规则中的一种处置动作。当请求匹配设定的条件时,WAF 不会拦截请求,而是在转发到源站时,自动为该请求 追加自定义 HTTP Header。源站可根据该 Header 的值进行相应的业务逻辑处理。 核心思路:WAF 负责识别 → Header 负责传递 → 源站负责决策 二、使用场景 场景 1:灰度发布 / AB 测试 将特定 I…...- 16
- 0
-
XXE带外数据窃取攻击深度解析:你的服务器正在悄悄”打电话”给黑客,百度云防护规则4200精准拦截
当你以为XML解析只是处理一段普通的数据格式时,攻击者已经利用它把服务器的密码文件悄悄发送到了自己的服务器上——而你毫无察觉。 这就是XXE外部实体注入的"带外"变体(Out-of-Band XXE),它不回显数据,不留日志痕迹,像一颗隐形窃听器一样潜伏在你的系统中。今天我们就来深度拆解这种攻击的原理,并介绍百度云防护如何用规则ID 4200将其一招封杀。 一、什么是XXE带外…...- 3
- 0
-
百度云防护重磅更新:IP地址簿功能上线,批量管理IP黑/白名单,规则配置效率提升10倍
还在一条一条手动添加IP黑名单?还在为几十个IP段重复配置CC防护规则而头疼?百度云防护全新推出的IP地址簿功能,让你可以一次性将IP或IP段存入“地址簿”,然后在自定义规则、白名单、CC防护等多个模块中一键引用。从此,IP管理变得像填表格一样简单。 一、 IP地址簿是什么? IP地址簿是百度云防护新增的集中式IP管理工具。你可以创建多个地址簿,每个地址簿内可添加最多200个IP地址或CIDR格式…...- 10
- 0
-
阿里云免费ESA也防不住爬虫?别急着屏蔽海外,百度云防护专业版用JA4指纹精准拦截
论坛上一位站长发帖求助:“阿里免费esa也防不住,怎么办?”下面有人支招:“闭屏UA和国外”。看似合理的建议,实则可能让你损失惨重——因为必应、谷歌的蜘蛛IP全是海外的,尤其是必应在PC端的搜索份额已经超过百度!屏蔽海外,等于慢性自杀。 今天我们就来聊聊,面对爬虫攻击,如何用百度云防护基础专业版精准拦截,而不是“一刀切”把搜索引擎也赶跑。 一、 爬虫攻击的痛点:为什么免费ESA防不住? 很多站长选…...- 8
- 0
-
警惕XXE嵌套实体攻击:一个递归就能让服务器内存爆炸!百度云防护内置规则精准拦截
只需要一个精心构造的XML文件,就能让服务器内存耗尽、CPU飙满,甚至整个服务崩溃——这就是XXE(XML外部实体)拒绝服务攻击中的“嵌套实体”攻击,俗称“Billion Laughs”或“指数实体扩展”。今天我们就来拆解这种攻击的原理,并介绍百度云防护如何用一条规则(规则ID 4206)轻松防住它。 一、 什么是XXE?为什么嵌套实体攻击如此致命? XXE(XML External Entity…...- 10
- 0
-
SQL注入新变种:chunked分块传输攻击如何绕过WAF?百度云防护一招拦截
传统的SQL注入攻击,WAF可以轻松拦截。但如果攻击者把SQL语句拆成几十个“小碎片”,分块发送,你的WAF还能认出来吗?这就是chunked编码注入——一种专门用来绕过WAF检测的高级攻击手法。今天我们就来详细拆解这种攻击的原理,并介绍百度云防护如何用一条规则(规则ID 4207)精准拦截它。 一、 什么是chunked编码注入? 1.1 分块传输编码(Chunked Transfer Enco…...- 17
- 0
-
百度云防护如何正确放行百度蜘蛛?手把手教你配置白名单(附界面详解)
网站开启WAF和CC防护后,攻击是挡住了,但百度蜘蛛也被拦了,收录直接腰斩——这是很多站长踩过的坑。今天我们就结合百度云防护最新的白名单规则界面,手把手教你如何配置“白名单”,让蜘蛛畅通无阻,攻击者无缝可钻。 一、 为什么要专门给蜘蛛开“绿灯”? 百度云防护的基础防护规则、智能CC、JS挑战等功能,在拦截恶意爬虫时,可能会误伤正常的搜索引擎蜘蛛。 智能CC:严格模式下,高频请求会被拦截,蜘蛛集中抓…...- 16
- 0
-
记一次踩坑:百度云防护接入后HTTPS 502,折腾一天竟是TLS版本惹的祸
你以为服务器没装防火墙就万事大吉?你以为回源测试正常就代表接入没问题?最近帮客户处理一个百度云防护接入的502问题,整整折腾了一天,最后发现罪魁祸首竟然是TLS版本不匹配。今天把这次踩坑经历分享出来,希望能帮各位同行少走弯路。 一、 问题现象:接入百度云防护后HTTPS 502 客户反馈:网站原本正常运行,接入百度云防护后,HTTPS访问一直报502 Bad Gateway,但HTTP访问正常。刚…...- 47
- 0
-
百度云防护WAF三月更新FAQ:新增15条安全规则,全面覆盖最新攻击手法
2026年3月17日,百度云防护WAF内置规则库迎来重磅更新,新增及优化15条核心安全规则,规则总数达到973条。针对这次更新,我们整理了站长们最关心的10个问题,一次讲透。 Q1:这次更新了哪些规则?能简单介绍一下吗? A:本次新增的15条规则主要覆盖以下几类攻击: 攻击类型规则ID规则名称风险等级主要作用SQL注入4207Injection.mysql_chunked_inj中拦截使用chun…...- 52
- 0
