hacktricks/pentesting-web/rate-limit-bypass.md

# Rate Limit Bypass

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) का उपयोग करें ताकि आप दुनिया के **सबसे उन्नत** सामुदायिक उपकरणों द्वारा संचालित **कार्यप्रवाहों** को आसानी से बना और **स्वचालित** कर सकें।\
आज ही एक्सेस प्राप्त करें:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}

{% hint style="success" %}
AWS हैकिंग सीखें और अभ्यास करें:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
GCP हैकिंग सीखें और अभ्यास करें: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>HackTricks का समर्थन करें</summary>

* [**सदस्यता योजनाएँ**](https://github.com/sponsors/carlospolop) देखें!
* **जुड़ें** 💬 [**Discord समूह**](https://discord.gg/hRep4RUj7f) या [**telegram समूह**](https://t.me/peass) या **हमें** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** पर **फॉलो** करें।**
* हैकिंग ट्रिक्स साझा करें, [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) गिटहब रिपोजिटरी में PR सबमिट करके।

</details>
{% endhint %}

## Rate limit bypass techniques

### समान एंडपॉइंट्स का अन्वेषण

लक्षित एंडपॉइंट के विभिन्न रूपों पर ब्रूट फोर्स हमले करने का प्रयास किया जाना चाहिए, जैसे कि `/api/v3/sign-up`, जिसमें विकल्प जैसे `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` आदि शामिल हैं।

### कोड या पैरामीटर में खाली वर्णों को शामिल करना

कोड या पैरामीटर में `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` जैसे खाली बाइट्स डालना एक उपयोगी रणनीति हो सकती है। उदाहरण के लिए, एक पैरामीटर को `code=1234%0a` में समायोजित करना इनपुट में भिन्नताओं के माध्यम से प्रयासों को बढ़ाने की अनुमति देता है, जैसे कि ईमेल पते में नई पंक्ति के वर्ण जोड़ना ताकि प्रयास सीमाओं को पार किया जा सके।

### हेडर के माध्यम से IP मूल को हेरफेर करना

हेडर को संशोधित करना ताकि धारित IP मूल को बदला जा सके, IP-आधारित दर सीमाओं से बचने में मदद कर सकता है। `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host` जैसे हेडर, जिसमें `X-Forwarded-For` के कई उदाहरणों का उपयोग करना शामिल है, विभिन्न IPs से अनुरोधों का अनुकरण करने के लिए समायोजित किया जा सकता है।
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
### अन्य हेडर बदलना

अन्य अनुरोध हेडर जैसे कि उपयोगकर्ता-एजेंट और कुकीज़ को बदलना अनुशंसित है, क्योंकि इनका उपयोग अनुरोध पैटर्न की पहचान और ट्रैकिंग के लिए भी किया जा सकता है। इन हेडरों को बदलने से अनुरोधकर्ता की गतिविधियों की पहचान और ट्रैकिंग को रोकने में मदद मिल सकती है।

### API गेटवे व्यवहार का लाभ उठाना

कुछ API गेटवे को एंडपॉइंट और पैरामीटर के संयोजन के आधार पर दर सीमा लागू करने के लिए कॉन्फ़िगर किया गया है। पैरामीटर मानों को बदलकर या अनुरोध में गैर-प्रमुख पैरामीटर जोड़कर, गेटवे की दर-सीमित लॉजिक को बायपास करना संभव है, जिससे प्रत्येक अनुरोध अद्वितीय प्रतीत होता है। उदाहरण के लिए `/resetpwd?someparam=1`।

### प्रत्येक प्रयास से पहले अपने खाते में लॉगिन करना

प्रत्येक प्रयास से पहले या प्रयासों के हर सेट से पहले एक खाते में लॉगिन करना दर सीमा काउंटर को रीसेट कर सकता है। यह लॉगिन कार्यक्षमताओं का परीक्षण करते समय विशेष रूप से उपयोगी है। Burp Suite जैसे उपकरणों में एक पिचफोर्क हमले का उपयोग करके, हर कुछ प्रयासों में क्रेडेंशियल्स को घुमाना और यह सुनिश्चित करना कि फॉलो रीडायरेक्ट्स को चिह्नित किया गया है, दर सीमा काउंटर को प्रभावी ढंग से पुनः प्रारंभ कर सकता है।

### प्रॉक्सी नेटवर्क का उपयोग करना

कई IP पते के बीच अनुरोधों को वितरित करने के लिए प्रॉक्सियों का एक नेटवर्क तैनात करना IP-आधारित दर सीमाओं को प्रभावी ढंग से बायपास कर सकता है। विभिन्न प्रॉक्सियों के माध्यम से ट्रैफ़िक को रूट करके, प्रत्येक अनुरोध एक अलग स्रोत से उत्पन्न होने के रूप में दिखाई देता है, जिससे दर सीमा की प्रभावशीलता कम हो जाती है।

### विभिन्न खातों या सत्रों के बीच हमले को विभाजित करना

यदि लक्षित प्रणाली प्रति-खाता या प्रति-सत्र आधार पर दर सीमाएँ लागू करती है, तो कई खातों या सत्रों के बीच हमले या परीक्षण को वितरित करना पहचान से बचने में मदद कर सकता है। इस दृष्टिकोण के लिए कई पहचान या सत्र टोकन का प्रबंधन करना आवश्यक है, लेकिन यह प्रभावी ढंग से लोड को वितरित कर सकता है ताकि अनुमेय सीमाओं के भीतर रह सके।

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
Use [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
Get Access Today:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`# Rate Limit Bypass`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>`
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00
			`\`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`[Trickest](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) का उपयोग करें ताकि आप दुनिया के सबसे उन्नत सामुदायिक उपकरणों द्वारा संचालित कार्यप्रवाहों को आसानी से बना और स्वचालित कर सकें।\`
			`आज ही एक्सेस प्राप्त करें:`
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`{% hint style="success" %}`
			`AWS हैकिंग सीखें और अभ्यास करें:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`GCP हैकिंग सीखें और अभ्यास करें: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`<summary>HackTricks का समर्थन करें</summary>`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2023-12-31 07:08:04 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`* [सदस्यता योजनाएँ](https://github.com/sponsors/carlospolop) देखें!`
			`* जुड़ें 💬 [Discord समूह](https://discord.gg/hRep4RUj7f) या [telegram समूह](https://t.me/peass) या हमें Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live) पर फॉलो करें।`
			`* हैकिंग ट्रिक्स साझा करें, [HackTricks](https://github.com/carlospolop/hacktricks) और [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) गिटहब रिपोजिटरी में PR सबमिट करके।`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`{% endhint %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`## Rate limit bypass techniques`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`### समान एंडपॉइंट्स का अन्वेषण`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2023-12-31 07:08:04 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			लक्षित एंडपॉइंट के विभिन्न रूपों पर ब्रूट फोर्स हमले करने का प्रयास किया जाना चाहिए, जैसे कि `/api/v3/sign-up`, जिसमें विकल्प जैसे `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` आदि शामिल हैं।
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`### कोड या पैरामीटर में खाली वर्णों को शामिल करना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			कोड या पैरामीटर में `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` जैसे खाली बाइट्स डालना एक उपयोगी रणनीति हो सकती है। उदाहरण के लिए, एक पैरामीटर को `code=1234%0a` में समायोजित करना इनपुट में भिन्नताओं के माध्यम से प्रयासों को बढ़ाने की अनुमति देता है, जैसे कि ईमेल पते में नई पंक्ति के वर्ण जोड़ना ताकि प्रयास सीमाओं को पार किया जा सके।
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`### हेडर के माध्यम से IP मूल को हेरफेर करना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			हेडर को संशोधित करना ताकि धारित IP मूल को बदला जा सके, IP-आधारित दर सीमाओं से बचने में मदद कर सकता है। `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host` जैसे हेडर, जिसमें `X-Forwarded-For` के कई उदाहरणों का उपयोग करना शामिल है, विभिन्न IPs से अनुरोधों का अनुकरण करने के लिए समायोजित किया जा सकता है।
GitBook: [master] 3 pages modified 2021-07-26 10:54:04 +00:00			```bash
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`X-Originating-IP: 127.0.0.1`
			`X-Forwarded-For: 127.0.0.1`
			`X-Remote-IP: 127.0.0.1`
			`X-Remote-Addr: 127.0.0.1`
GitBook: [master] 2 pages modified 2020-08-25 08:42:39 +00:00			`X-Client-IP: 127.0.0.1`
			`X-Host: 127.0.0.1`
			`X-Forwared-Host: 127.0.0.1`

Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 05:25:02 +00:00			`# Double X-Forwarded-For header example`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`X-Forwarded-For:`
			`X-Forwarded-For: 127.0.0.1`
			```
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`### अन्य हेडर बदलना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			अन्य अनुरोध हेडर जैसे कि उपयोगकर्ता-एजेंट और कुकीज़ को बदलना अनुशंसित है, क्योंकि इनका उपयोग अनुरोध पैटर्न की पहचान और ट्रैकिंग के लिए भी किया जा सकता है। इन हेडरों को बदलने से अनुरोधकर्ता की गतिविधियों की पहचान और ट्रैकिंग को रोकने में मदद मिल सकती है।
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`### API गेटवे व्यवहार का लाभ उठाना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			कुछ API गेटवे को एंडपॉइंट और पैरामीटर के संयोजन के आधार पर दर सीमा लागू करने के लिए कॉन्फ़िगर किया गया है। पैरामीटर मानों को बदलकर या अनुरोध में गैर-प्रमुख पैरामीटर जोड़कर, गेटवे की दर-सीमित लॉजिक को बायपास करना संभव है, जिससे प्रत्येक अनुरोध अद्वितीय प्रतीत होता है। उदाहरण के लिए `/resetpwd?someparam=1`।
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2023-12-31 07:08:04 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 05:25:02 +00:00			`### प्रत्येक प्रयास से पहले अपने खाते में लॉगिन करना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			प्रत्येक प्रयास से पहले या प्रयासों के हर सेट से पहले एक खाते में लॉगिन करना दर सीमा काउंटर को रीसेट कर सकता है। यह लॉगिन कार्यक्षमताओं का परीक्षण करते समय विशेष रूप से उपयोगी है। Burp Suite जैसे उपकरणों में एक पिचफोर्क हमले का उपयोग करके, हर कुछ प्रयासों में क्रेडेंशियल्स को घुमाना और यह सुनिश्चित करना कि फॉलो रीडायरेक्ट्स को चिह्नित किया गया है, दर सीमा काउंटर को प्रभावी ढंग से पुनः प्रारंभ कर सकता है।
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`### प्रॉक्सी नेटवर्क का उपयोग करना`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			कई IP पते के बीच अनुरोधों को वितरित करने के लिए प्रॉक्सियों का एक नेटवर्क तैनात करना IP-आधारित दर सीमाओं को प्रभावी ढंग से बायपास कर सकता है। विभिन्न प्रॉक्सियों के माध्यम से ट्रैफ़िक को रूट करके, प्रत्येक अनुरोध एक अलग स्रोत से उत्पन्न होने के रूप में दिखाई देता है, जिससे दर सीमा की प्रभावशीलता कम हो जाती है।

			`### विभिन्न खातों या सत्रों के बीच हमले को विभाजित करना`

			यदि लक्षित प्रणाली प्रति-खाता या प्रति-सत्र आधार पर दर सीमाएँ लागू करती है, तो कई खातों या सत्रों के बीच हमले या परीक्षण को वितरित करना पहचान से बचने में मदद कर सकता है। इस दृष्टिकोण के लिए कई पहचान या सत्र टोकन का प्रबंधन करना आवश्यक है, लेकिन यह प्रभावी ढंग से लोड को वितरित कर सकता है ताकि अनुमेय सीमाओं के भीतर रह सके।

			`{% hint style="success" %}`
			`Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`

			`<details>`

			`<summary>Support HackTricks</summary>`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`* Check the [subscription plans](https://github.com/sponsors/carlospolop)!`
			`* Join the 💬 [Discord group](https://discord.gg/hRep4RUj7f) or the [telegram group](https://t.me/peass) or follow us on Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Share hacking tricks by submitting PRs to the [HackTricks](https://github.com/carlospolop/hacktricks) and [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos.`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:18:57 +00:00			`</details>`
			`{% endhint %}`

			`<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>`

			`\`
			`Use [Trickest](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) to easily build and automate workflows powered by the world's most advanced community tools.\`
			`Get Access Today:`

			`{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}`