Usa [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) per creare facilmente e **automatizzare flussi di lavoro** supportati dagli strumenti della comunità **più avanzati al mondo**.\
<summary><strong>Impara l'hacking di AWS da zero a eroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Esperto Red Team AWS di HackTricks)</strong></a><strong>!</strong></summary>
* Se vuoi vedere la tua **azienda pubblicizzata in HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PACCHETTI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Scopri [**La Famiglia PEASS**](https://opensea.io/collection/the-peass-family), la nostra collezione esclusiva di [**NFT**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR a** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos di github.
Dovrebbero essere effettuati tentativi di attacchi di forza bruta su variazioni del punto finale mirato, come `/api/v3/sign-up`, includendo alternative come `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` ecc.
### Incorporare Caratteri Vuoti nel Codice o nei Parametri
Inserire byte vuoti come `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` nel codice o nei parametri può essere una strategia utile. Ad esempio, regolare un parametro a `code=1234%0a` consente di estendere i tentativi attraverso variazioni in input, come aggiungere caratteri di nuova riga a un indirizzo email per aggirare i limiti dei tentativi.
Modificare le intestazioni per alterare l'origine IP percepita può aiutare a eludere il limite di velocità basato sull'IP. Intestazioni come `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, inclusa l'uso di più istanze di `X-Forwarded-For`, possono essere regolate per simulare richieste da IP diversi.
È consigliabile modificare altre intestazioni della richiesta come l'user-agent e i cookie, poiché anche queste possono essere utilizzate per identificare e tracciare i modelli delle richieste. Modificare queste intestazioni può prevenire il riconoscimento e il tracciamento delle attività del richiedente.
Alcuni gateway API sono configurati per applicare il limitazione del tasso in base alla combinazione di endpoint e parametri. Variando i valori dei parametri o aggiungendo parametri non significativi alla richiesta, è possibile aggirare la logica di limitazione del tasso del gateway, rendendo unica ogni richiesta. Ad esempio `/resetpwd?someparam=1`.
Effettuare il login in un account prima di ogni tentativo, o ad ogni serie di tentativi, potrebbe azzerare il contatore del limite di tasso. Questo è particolarmente utile durante i test delle funzionalità di accesso. Utilizzare un attacco Pitchfork in strumenti come Burp Suite, per ruotare le credenziali ogni pochi tentativi e assicurarsi che i reindirizzamenti siano contrassegnati, può riavviare efficacemente i contatori del limite di tasso.
Implementare una rete di proxy per distribuire le richieste su più indirizzi IP può aggirare efficacemente i limiti di tasso basati sull'IP. Instradando il traffico attraverso vari proxy, ogni richiesta sembrerà provenire da una fonte diversa, diluendo l'efficacia del limite di tasso.
Se il sistema di destinazione applica limiti di tasso su base per-account o per-sessione, distribuire l'attacco o il test su più account o sessioni può aiutare ad evitare la rilevazione. Questo approccio richiede la gestione di identità o token di sessione multipli, ma può distribuire efficacemente il carico per rimanere entro i limiti consentiti.
<details>
<summary><strong>Impara l'hacking su AWS da zero a esperto con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Altri modi per supportare HackTricks:
* Se desideri vedere la tua **azienda pubblicizzata su HackTricks** o **scaricare HackTricks in PDF** Controlla i [**PIANI DI ABBONAMENTO**](https://github.com/sponsors/carlospolop)!
* Ottieni il [**merchandising ufficiale di PEASS & HackTricks**](https://peass.creator-spring.com)
* Scopri [**The PEASS Family**](https://opensea.io/collection/the-peass-family), la nostra collezione di [**NFT esclusivi**](https://opensea.io/collection/the-peass-family)
* **Unisciti al** 💬 [**gruppo Discord**](https://discord.gg/hRep4RUj7f) o al [**gruppo telegram**](https://t.me/peass) o **seguici** su **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Condividi i tuoi trucchi di hacking inviando PR ai** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repository di Github.
Usa [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) per creare e **automatizzare facilmente flussi di lavoro** supportati dagli strumenti della comunità più avanzati al mondo.\
