1.云WAF绕过,需要在请求包中伪造头部信息,具体可理解为伪造IP地址,使WAF安全机制误认为是本地访问(127.0.0.1),借助BurpSuite工具来实现
2.首先在BurpSuite中安装BypassWAF插件
2.1将.jar扩展插件安装在BurpSuite中的插件扩展模块
2.2配置BypassWAF模块
2.3在BurpSuite项目选项中继续配置相关参数
3.访问地址,抓取数据包,看请求头部变化
以上请求头部信息中多了几项,其中X-Forwarded-For伪造IP地址为127.0.0.1,这种方法基本可以通杀所有的云WAF,是绕过云WAF最有效的方法之一。