AWVS（Acunetix Web Vulnerability Scanner）是一款常见的Web漏洞扫描器，用于发现Web应用程序中的漏洞和安全问题。然而，如果Web应用程序中使用了WAF（Web Application Firewall）这样的安全工具，AWVS可能会错过一些漏洞。本文将介绍如何使用AWVS来扫描WAF保护的Web应用程序，以及如何绕过WAF的一些常见防御措施。

WAF是一种Web应用程序安全工具，用于检测和拦截恶意HTTP流量。WAF的主要目的是防御Web应用程序中的攻击，如SQL注入、跨站脚本（XSS）和跨站请求伪造（CSRF）等。 WAF通过检查HTTP请求中的参数和负载，将它们与已知的攻击模式进行比较，并拒绝或记录可疑流量。

AWVS扫描WAF保护的Web应用程序时，会将HTTP流量发送到应用程序，并分析响应，以发现漏洞和安全问题。由于WAF检测到恶意流量并拦截它们，AWVS可能无法发送一些测试负载。这可能导致一些越过WAF后的漏洞被忽略。

下面是一些绕过WAF防御措施的技巧：

1. 使用不同的允许的HTTP方法：WAF通常只允许标准的HTTP方法，例如GET、POST、HEAD和OPTIONS。使用不受支持的HTTP方法，如PUT、DELETE、CONNECT和TRACE，可能会绕过WAF。

2. 更改参数编码：WAF可能会检查HTTP请求中的参数，并尝试解码它们以查找恶意内容，例如SQL注入。更改参数编码，如使用双重URL编码或十六进制编码，可能会绕过WAF。

3. 使用不同的字符集：WAF可能只检查某些字符集，如ASCII或UTF-8。使用其他字符集，如GBK或BIG5，可能会绕过WAF。

4. 更改请求路径或查询字符串：WAF可能会检查HTTP请求的