Tumia [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) kujenga na **kutumia** kwa urahisi mifumo ya kazi zinazotumia zana za **jamii** zilizo **za juu zaidi** duniani.\
<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA USAJILI**](https://github.com/sponsors/carlospolop)!
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
Jaribio linapaswa kufanywa kufanya mashambulizi ya nguvu kwenye mabadiliko ya ncha inayolengwa, kama vile `/api/v3/sign-up`, ikiwa ni pamoja na mbadala kama `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` n.k.
Kuingiza baiti tupu kama `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` katika kanuni au vigezo inaweza kuwa mkakati wenye manufaa. Kwa mfano, kurekebisha kigezo kuwa `code=1234%0a` inaruhusu kupanua majaribio kupitia mabadiliko katika pembejeo, kama vile kuongeza herufi za mstari mpya kwenye anwani ya barua pepe ili kuepuka vikwazo vya majaribio.
Kurekebisha vichwa ili kubadilisha asili iliyopokelewa ya IP inaweza kusaidia kuepuka kikomo cha kiwango kinachotegemea IP. Vichwa kama `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, ikiwa ni pamoja na kutumia mifano mingi ya `X-Forwarded-For`, inaweza kurekebishwa ili kusimuliza maombi kutoka kwenye IP tofauti.
Kubadilisha vichwa vingine vya ombi kama vile user-agent na vidakuzi ni muhimu, kwani vinaweza kutumika pia kutambua na kufuatilia mifumo ya ombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtu anayeomba.
Baadhi ya malango ya API yameboreshwa kwa kikomo cha kiwango cha ombi kulingana na kombinisheni ya mwisho na paramita. Kwa kubadilisha thamani za paramita au kuongeza paramita zisizo na maana kwa ombi, inawezekana kuzunguka mantiki ya kikomo cha kiwango cha lango, kufanya kila ombi lionekane kuwa tofauti. Kwa mfano `/resetpwd?someparam=1`.
Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, inaweza kusaidia kusawazisha kikomo cha kiwango. Hii ni muhimu hasa wakati wa kujaribu utendaji wa kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha siri kila baada ya majaribio machache na kuhakikisha kuwa kufuata upya kunawekwa, inaweza kuanzisha upya kikomo cha kiwango kwa ufanisi.
Kuweka mtandao wa proksi kusambaza maombi kote kwenye anwani za IP nyingi inaweza kusaidia kuzunguka vikomo vya kiwango cha IP. Kwa kuelekeza trafiki kupitia proksi mbalimbali, kila ombi linaonekana kutoka chanzo tofauti, kudhoofisha ufanisi wa kikomo cha kiwango.
Ikiwa mfumo wa lengo unatumia vikomo vya kiwango kwa kila akaunti au kikao, kugawa shambulio au jaribio kote kwenye akaunti au vikao vingi kunaweza kusaidia kuepuka kugunduliwa. Hatua hii inahitaji kusimamia vitambulisho vingi au vielelezo vya kikao, lakini inaweza kugawa mzigo kwa ufanisi ili kubaki ndani ya vikomo vinavyoruhusiwa.
