1.云WAF绕过,需要在请求包中伪造头部信息,具体可理解为伪造IP地址,使WAF安全机制误认为是本地访问(127.0.0.1),借助BurpSuite工具来实现

2.首先在BurpSuite中安装BypassWAF插件

云WAF绕过方法_插件安装

 

 2.1将.jar扩展插件安装在BurpSuite中的插件扩展模块

云WAF绕过方法_ip地址_02

 

 2.2配置BypassWAF模块

云WAF绕过方法_安全机制_03

 

 2.3在BurpSuite项目选项中继续配置相关参数

云WAF绕过方法_请求头_04

 云WAF绕过方法_插件安装_05

 

 云WAF绕过方法_安全机制_06

 

 3.访问地址,抓取数据包,看请求头部变化

云WAF绕过方法_插件安装_07

 

 

云WAF绕过方法_ip地址_08

云WAF绕过方法_插件安装_09

云WAF绕过方法_ip地址_10云WAF绕过方法_请求头_11

 

 以上请求头部信息中多了几项,其中X-Forwarded-For伪造IP地址为127.0.0.1,这种方法基本可以通杀所有的云WAF,是绕过云WAF最有效的方法之一。