一共217篇文章
专题:第2期
-
XXE带外数据窃取攻击深度解析:你的服务器正在悄悄”打电话”给黑客,百度云防护规则4200精准拦截
当你以为XML解析只是处理一段普通的数据格式时,攻击者已经利用它把服务器的密码文件悄悄发送到了自己的服务器上——而你毫无察觉。 这就是XXE外部实体注入的"带外"变体(Out-of-Band XXE),它不回显数据,不留日志痕迹,像一颗隐形窃听器一样潜伏在你的系统中。今天我们就来深度拆解这种攻击的原理,并介绍百度云防护如何用规则ID 4200将其一招封杀。 一、什么是XXE带外…...- 3
- 0
-
百度云防护重磅更新:IP地址簿功能上线,批量管理IP黑/白名单,规则配置效率提升10倍
还在一条一条手动添加IP黑名单?还在为几十个IP段重复配置CC防护规则而头疼?百度云防护全新推出的IP地址簿功能,让你可以一次性将IP或IP段存入“地址簿”,然后在自定义规则、白名单、CC防护等多个模块中一键引用。从此,IP管理变得像填表格一样简单。 一、 IP地址簿是什么? IP地址簿是百度云防护新增的集中式IP管理工具。你可以创建多个地址簿,每个地址簿内可添加最多200个IP地址或CIDR格式…...- 14
- 0
-
阿里云免费ESA也防不住爬虫?别急着屏蔽海外,百度云防护专业版用JA4指纹精准拦截
论坛上一位站长发帖求助:“阿里免费esa也防不住,怎么办?”下面有人支招:“闭屏UA和国外”。看似合理的建议,实则可能让你损失惨重——因为必应、谷歌的蜘蛛IP全是海外的,尤其是必应在PC端的搜索份额已经超过百度!屏蔽海外,等于慢性自杀。 今天我们就来聊聊,面对爬虫攻击,如何用百度云防护基础专业版精准拦截,而不是“一刀切”把搜索引擎也赶跑。 一、 爬虫攻击的痛点:为什么免费ESA防不住? 很多站长选…...- 13
- 0
-
警惕XXE嵌套实体攻击:一个递归就能让服务器内存爆炸!百度云防护内置规则精准拦截
只需要一个精心构造的XML文件,就能让服务器内存耗尽、CPU飙满,甚至整个服务崩溃——这就是XXE(XML外部实体)拒绝服务攻击中的“嵌套实体”攻击,俗称“Billion Laughs”或“指数实体扩展”。今天我们就来拆解这种攻击的原理,并介绍百度云防护如何用一条规则(规则ID 4206)轻松防住它。 一、 什么是XXE?为什么嵌套实体攻击如此致命? XXE(XML External Entity…...- 14
- 0
-
SQL注入新变种:chunked分块传输攻击如何绕过WAF?百度云防护一招拦截
传统的SQL注入攻击,WAF可以轻松拦截。但如果攻击者把SQL语句拆成几十个“小碎片”,分块发送,你的WAF还能认出来吗?这就是chunked编码注入——一种专门用来绕过WAF检测的高级攻击手法。今天我们就来详细拆解这种攻击的原理,并介绍百度云防护如何用一条规则(规则ID 4207)精准拦截它。 一、 什么是chunked编码注入? 1.1 分块传输编码(Chunked Transfer Enco…...- 17
- 0
-
百度云防护如何正确放行百度蜘蛛?手把手教你配置白名单(附界面详解)
网站开启WAF和CC防护后,攻击是挡住了,但百度蜘蛛也被拦了,收录直接腰斩——这是很多站长踩过的坑。今天我们就结合百度云防护最新的白名单规则界面,手把手教你如何配置“白名单”,让蜘蛛畅通无阻,攻击者无缝可钻。 一、 为什么要专门给蜘蛛开“绿灯”? 百度云防护的基础防护规则、智能CC、JS挑战等功能,在拦截恶意爬虫时,可能会误伤正常的搜索引擎蜘蛛。 智能CC:严格模式下,高频请求会被拦截,蜘蛛集中抓…...- 16
- 0
-
记一次踩坑:百度云防护接入后HTTPS 502,折腾一天竟是TLS版本惹的祸
你以为服务器没装防火墙就万事大吉?你以为回源测试正常就代表接入没问题?最近帮客户处理一个百度云防护接入的502问题,整整折腾了一天,最后发现罪魁祸首竟然是TLS版本不匹配。今天把这次踩坑经历分享出来,希望能帮各位同行少走弯路。 一、 问题现象:接入百度云防护后HTTPS 502 客户反馈:网站原本正常运行,接入百度云防护后,HTTPS访问一直报502 Bad Gateway,但HTTP访问正常。刚…...- 51
- 0
-
百度云防护WAF三月更新FAQ:新增15条安全规则,全面覆盖最新攻击手法
2026年3月17日,百度云防护WAF内置规则库迎来重磅更新,新增及优化15条核心安全规则,规则总数达到973条。针对这次更新,我们整理了站长们最关心的10个问题,一次讲透。 Q1:这次更新了哪些规则?能简单介绍一下吗? A:本次新增的15条规则主要覆盖以下几类攻击: 攻击类型规则ID规则名称风险等级主要作用SQL注入4207Injection.mysql_chunked_inj中拦截使用chun…...- 52
- 0
-
360安全龙虾私钥泄露事件复盘:SSL证书管理失当,给所有站长敲响警钟
一个本该严格保密的SSL私钥,竟然被直接打包进安装包公开传播。360公司近日因“安全龙虾”安装包中包含内部通配符证书私钥而引发轩然大波。虽然官方迅速吊销证书并回应称“普通用户不受影响”,但这起事件暴露出的SSL证书管理问题,值得每一位站长深思。 一、 事件回顾:内部私钥意外“裸奔” 3月16日,有网友发现“360安全龙虾”安装包中,竟然包含了属于360公司内部的SSL私钥与证书。该私钥对应域名为 …...- 21
- 0
-
Drupal高危代码执行漏洞可致服务器沦陷,百度云防护WAF内置规则一键拦截
一个存在了多年的高危漏洞,至今仍在大量Drupal网站中潜伏。攻击者只需通过邮件表单提交恶意代码,就能直接在服务器上执行任意命令——这就是影响Drupal等主流CMS的PHPMailer远程代码执行漏洞(CVE-2016-10033)。今天咱们就来扒一扒这个漏洞有多危险,以及百度云防护WAF如何用内置规则轻松防住它。 一、 漏洞背景:一个组件引发的“血案” Drupal作为全球最流行的开源CMS之…...- 3
- 0
-
不同IP、不同手机号轮番刷短信?百度云防护BOT功能从源头掐死“分布式攻击”
当你做了已经做了防护:1分钟内同一IP调用3次就拦截,同一个IP只要触发过1次就不再发短信。但攻击者根本不和你玩“重复”——他们用成千上万个不同IP、不同手机号,每个IP只打一次,完美绕过你的所有规则。这种分布式低频攻击,就是冲着让你“防无可防”来的。 遇到这种情况,传统CC防护确实捉襟见肘。但百度云防护的企业版BOT功能,正是为此而生。 一、 为什么你现在的方案防不住? 先拆解一下攻击者的手法:…...- 23
- 0
-
网站被植入WebShell?百度云防护内置规则精准拦截,让后门无处可藏
WebShell是黑客留给网站的“后门钥匙”——一段不起眼的脚本,却能让你整台服务器沦为对方的“肉鸡”。更可怕的是,WebShell上传往往发生在你最意想不到的地方:头像上传、编辑器图片、附件功能……一旦成功,攻击者就能任意执行命令、窃取数据、篡改网页。今天咱们就来聊聊,百度云防护WAF如何用内置规则,让WebShell“落地即死”。 一、 什么是WebShell?为什么它如此危险? WebShe…...- 3
- 0
