渗透测试bypass是什么意思

Bypass本意是通过特定的触发状态（断电或死机）让两个网络不通过网络安全设备的系统，在渗透测试中是绕过的意思，具体是指渗透测试人员通过特殊语句的构建，进行渗透测试过程达到绕过WAF的一种手法。

常见的Bypass技巧如下：

• 架构层绕过WAF

  • CDN WAF绕过

  • 白名单应用

• 匹配资源大小限制

  • 服务器端配置（Data MAX Length）

• 协议未正确解析

  • HTTP不同的请求方法污染

  • GET与POST的区别

  • 文件上传

  • HTTP参数污染（HPP)

• 发现WAF缺陷过程

  • 绕过某WAF上传

  • 绕过某WAF注入

  • 自动化Bypass

  • 思考

• 过滤/拦截规则不严谨

  • 等价替换

  • 大小写替换

  • 不常用条件

  • 特殊符号

  • 编码

  • 注释