1.雲WAF繞過,需要在請求包中偽造頭部信息,具體可理解為偽造IP地址,使WAF安全機制誤認為是本地訪問(127.0.0.1),借助BurpSuite工具來實現
2.首先在BurpSuite中安裝BypassWAF插件
2.1將.jar擴展插件安裝在BurpSuite中的插件擴展模塊
2.2配置BypassWAF模塊
2.3在BurpSuite項目選項中繼續配置相關參數
3.訪問地址,抓取數據包,看請求頭部變化
以上請求頭部信息中多了幾項,其中X-Forwarded-For偽造IP地址為127.0.0.1,這種方法基本可以通殺所有的雲WAF,是繞過雲WAF最有效的方法之一。