Respuesta rápida
Cloudflare WAF tiene límites de inspección de body que dependen del plan: ~8 KB en Free, 128 KB en Enterprise. Bypass clásico: rellenar el body con padding hasta superar el límite, el payload posterior pasa sin inspección. Otros vectores: header stuffing (>94-100 headers, OpenResty trunca), IP origin disclosure via Censys/historical DNS, cache poisoning con headers ignorados, cache rule mismatch.
1. Límites de inspección del body
Cloudflare no inspecciona todo el body. El límite depende del plan del target:
| Plan | Límite WAF inspection | ¿Ampliable? |
|---|---|---|
| Free | ~8 KB | No |
| Pro | Bajo por defecto | Sí, hasta 1 MB vía soporte |
| Business | Bajo por defecto | Sí, hasta 1 MB vía soporte |
| Enterprise | 128 KB | Sí, hasta 1 MB vía soporte |
Historia (diciembre 2025)
Cloudflare intentó subir el límite a 1 MB para todos los planes el 5 de diciembre 2025 (por CVE-2025-55182, React RCE). Lo revirtieron porque causó oleada de falsos positivos. Volvieron a los límites previos. Solo clientes pagados que lo soliciten explícitamente tienen 1 MB.
Implicación práctica: la mayoría de sitios en Cloudflare Free/Pro siguen con límites bajos. Mismo bypass que en AWS WAF.
2. Oversized body bypass — paso a paso
Sigue leyendo el chain completo
La parte que falta incluye el PoC paso a paso, código de explotación y la cadena completa que llevó al impacto. Disponible para suscriptores.
Practica esto en un lab
Waf Bypass
Sigue aprendiendo · cuenta gratis
Guarda tu progreso, desbloquea payloads avanzados y rankea tus flags.
Artículos relacionados
Cloudflare WAF — payload size bypass, oversized body, plan-specific limits
Bypass de Cloudflare WAF mediante exploitation de body size limits por plan (Free 100kb, Pro 100kb, Business 500kb, Enterprise 1mb): oversize payload trick + chunked transfer encoding.
HTTP Request Smuggling — CL.TE, TE.CL, TE.TE y caching exploitation
Cuando el frontend y el backend interpretan el mismo request de forma diferente. Smuggling para bypass de auth, cache poisoning, victima-aware attacks.
XSS WAF bypass — encoding, parser differentials, case-only mutations
Técnicas de bypass WAF para XSS: HTML entities, hex/decimal/unicode encoding, parser differentials (browser vs WAF), comments injection, case variations, JS template literals.