问用DirBuster避免WAF

EN

它不可能只是简单地“避免WAF”，它正在做它的工作。除了特定的有效载荷旁路。但这不是你要问的问题。

就“绕过”WAF而言，对于类似目录暴力的操作--强制您可以采取的最佳操作步骤是Schroeder建议的，设置您的扫描速度低于设置WAF的阈值。例如，如果WAF配置为当一个IP在5分钟内发送100个或更多请求时，就开始丢弃数据包。然后，您将需要设置您的扫描发送不超过该金额。

要找到最合适的地方，您只需非常积极地开始扫描(取决于环境)，然后逐渐降低，直到您的请求通过时为止。我应该注意，这些天来，WAFs可以有一些非常细粒度的规则，所以这实际上只适用于当流量太频繁时减少流量的经典场景。