![Nginx Lua WAF通用绕过方法](http://www.0xby.com/wp-content/themes/Ality/img/default.jpg)
1.前言
2018年4月3日@ bre4k在群里发了一个trick。
Nginx Lua获取参数时,默认获取前100个参数值,其余的将被丢弃。
所以,用了Nginx Lua的WAF默认都会被Bypass。
2018年4月20日,已经有人公开了这个细节,那这篇文章也就公开了。
2.原理
官方描述如下
Note that a maximum of 100 request arguments are parsed by default (including those with the same name) and that additional request arguments a...