文章总结： BypassPro是一款BurpSuite插件，专注于自动化绕过身份验证和WAF防护。5.1版本新增手动WAF工作台功能，支持自动权限绕过、WAF规则变形、多种编码转换及GhostBits测试，提供RawSocket发包和配置维护能力。项目开源地址为GitHub仓库0x727/BypassPro。 综合评分： 82 文章分类： WEB安全,渗透测试,安全工具,红队,漏洞分析

使用

Burpsuite 安装插件 介绍

Auto-权限绕过

• • 入口：Send to BypassPro (Access Control)，以及 Dashboard 中的 Auto Scan。
• • 配置：profiles.auto_access_bypass。
• • 用途：面向 401/403、权限绕过、访问控制绕过场景。
• • 规则：suffix / prefix / boundary_insert / headers。

Auto-WAF 绕过

• • 入口：Send to BypassPro (WAF)。

• • 配置：profiles.auto_waf_bypass。

• • 用途：对指定请求自动生成 WAF 绕过变体。

• • 能力：

• • Path / Header 规则变形。

• • Body Charset 编码：UTF-16 / UTF-16BE / UTF-16LE / UTF-32 / UTF-32BE / UTF-32LE / IBM037。

• • Body Transform：Gzip。

• • Content-Type 伪装：form-urlencoded / multipart / text/plain。

• • Ghost Bits 自动绕过：基于原请求已有 token 生成 eq / parser 候选，场景模板默认关闭。

Manual-WAF 工作台

• • 入口：Send to BypassPro (Manual WAF)。

• • 用途：把请求送入手动工作台，像 Repeater 一样编辑、组合、发送，但工具栏专门面向 WAF/解析差异绕过。

• • 特点：

• • 使用 Burp 原生 IMessageEditor，支持 Pretty / Raw / Hex。

• • 支持 Host / Port / HTTPS 手动修改。

• • 支持 Send / Cancel / Reset / Undo / Redo。

• • 支持 Follow Redirect，最大跳转次数读取 general.max_redirects，默认 3。

• • 支持 History，便于回放和对比。

总结

项目地址：https://github.com/0x727/BypassPro

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击的HACK 《BypassPro 自动化bypass Auth和Waf》