hacktricks/pentesting-web/rate-limit-bypass.md

92 lines
6.5 KiB
Markdown
Raw Normal View History

# Bajpasiranje ograničenja brzine
2022-04-28 16:01:33 +00:00
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-08-31 22:35:39 +00:00
\
Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice.\
2024-02-10 13:11:20 +00:00
Dobijte pristup danas:
2022-08-31 22:35:39 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 13:11:20 +00:00
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:11:20 +00:00
Drugi načini podrške HackTricks-u:
2023-12-31 01:25:17 +00:00
* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
2024-02-10 13:11:20 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
2024-02-10 13:11:20 +00:00
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
2022-04-28 16:01:33 +00:00
</details>
## Tehnike zaobilaženja ograničenja brzine
2024-02-10 13:11:20 +00:00
### Istraživanje sličnih krajnjih tačaka
Treba pokušati izvesti napade brute force na varijacije ciljane krajnje tačke, poput `/api/v3/sign-up`, uključujući alternative poput `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` itd.
2024-02-10 13:11:20 +00:00
### Uključivanje praznih karaktera u kod ili parametre
Umetanje praznih bajtova poput `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` u kod ili parametre može biti korisna strategija. Na primer, prilagođavanje parametra u `code=1234%0a` omogućava proširenje pokušaja kroz varijacije unosa, poput dodavanja znakova nove linije u e-adresu kako bi se zaobišla ograničenja pokušaja.
### Manipulisanje IP porekla putem zaglavlja
Modifikovanje zaglavlja kako bi se promenilo percepirano IP poreklo može pomoći u izbegavanju ograničenja brzine zasnovanih na IP adresi. Zaglavlja poput `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, uključujući korišćenje više instanci `X-Forwarded-For`, mogu se prilagoditi kako bi se simulirali zahtevi sa različitih IP adresa.
2021-07-26 10:54:04 +00:00
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
2020-08-25 08:42:39 +00:00
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1
2024-02-06 03:10:38 +00:00
# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
2024-02-10 13:11:20 +00:00
### Menjanje drugih zaglavlja
Preporučuje se menjanje drugih zaglavlja zahteva kao što su korisnički agent i kolačići, jer se ona takođe mogu koristiti za identifikaciju i praćenje obrazaca zahteva. Menjanje ovih zaglavlja može sprečiti prepoznavanje i praćenje aktivnosti zahtevaoca.
2024-02-10 13:11:20 +00:00
### Iskorišćavanje ponašanja API Gateway-a
Neke API kapije su konfigurisane da primenjuju ograničenje brzine na osnovu kombinacije krajnje tačke i parametara. Variranjem vrednosti parametara ili dodavanjem nevažnih parametara zahtevu, moguće je zaobići logiku ograničenja brzine kapije, čineći da svaki zahtev izgleda jedinstveno. Na primer `/resetpwd?someparam=1`.
2024-02-10 13:11:20 +00:00
### Prijavljivanje na svoj nalog pre svakog pokušaja
Prijavljivanje na nalog pre svakog pokušaja, ili svakog seta pokušaja, može resetovati brojač ograničenja brzine. Ovo je posebno korisno prilikom testiranja funkcionalnosti prijavljivanja. Korišćenje Pitchfork napada u alatima poput Burp Suite-a, za rotiranje akreditiva svakih nekoliko pokušaja i obezbeđivanje označavanja praćenja preusmeravanja, može efikasno restartovati brojače ograničenja brzine.
2021-07-26 10:54:04 +00:00
2024-02-10 13:11:20 +00:00
### Korišćenje mreže proksi servera
Postavljanje mreže proksi servera radi distribucije zahteva preko više IP adresa može efikasno zaobići IP-bazirana ograničenja brzine. Rutiranjem saobraćaja preko različitih proksi servera, svaki zahtev će izgledati kao da potiče iz različitog izvora, razblažujući efikasnost ograničenja brzine.
2021-07-26 10:54:04 +00:00
2024-02-10 13:11:20 +00:00
### Podela napada na različite naloge ili sesije
2021-11-28 11:01:58 +00:00
Ako ciljni sistem primenjuje ograničenja brzine na osnovu naloga ili sesija, distribuiranje napada ili testa preko više naloga ili sesija može pomoći u izbegavanju otkrivanja. Ovaj pristup zahteva upravljanje sa više identiteta ili tokena sesija, ali može efikasno raspodeliti opterećenje kako bi se ostalo unutar dozvoljenih granica.
2022-04-28 16:01:33 +00:00
<details>
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 13:11:20 +00:00
Drugi načini podrške HackTricks-u:
2023-12-31 01:25:17 +00:00
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
2024-02-10 13:11:20 +00:00
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
2024-02-10 13:11:20 +00:00
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
2022-04-28 16:01:33 +00:00
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
2022-08-31 22:35:39 +00:00
\
Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice na svetu.\
Pristupite danas:
2022-04-28 16:01:33 +00:00
2022-08-31 22:35:39 +00:00
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}