云WAF绕过方法

1.云WAF绕过，需要在请求包中伪造头部信息，具体可理解为伪造IP地址，使WAF安全机制误认为是本地访问（127.0.0.1），借助BurpSuite工具来实现

2.首先在BurpSuite中安装BypassWAF插件

 

 2.1将.jar扩展插件安装在BurpSuite中的插件扩展模块

 

 2.2配置BypassWAF模块

 

 2.3在BurpSuite项目选项中继续配置相关参数

 

 

 

 

 3.访问地址，抓取数据包，看请求头部变化

 

 

 

 以上请求头部信息中多了几项，其中X-Forwarded-For伪造IP地址为127.0.0.1，这种方法基本可以通杀所有的云WAF，是绕过云WAF最有效的方法之一。