hacktricks/pentesting-web/rate-limit-bypass.md

# レート制限回避

![](<../.gitbook/assets/image (9) (1) (2).png>)

\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* **サイバーセキュリティ企業で働いていますか？** **HackTricksで会社を宣伝**したいですか？または、**最新バージョンのPEASSを入手**したいですか？または、HackTricksをPDFでダウンロードしたいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。

</details>

### 類似のエンドポイントの使用

`/api/v3/sign-up`エンドポイントを攻撃している場合は、`/Sing-up`、`/SignUp`、`/singup`などに対してブルートフォース攻撃を試みてください...

また、コードやパラメータに`%00、%0d%0a、%0d、%0a、%09、%0C、%20`のような空白バイトを追加してみてください。例えば、`code=1234%0a`のようにするか、メールのコードをリクエストしている場合は、5回の試行のうち、最初の5回を`example@email.com`に使用し、次に`example@email.com%0a`に使用し、`example@email.com%0a%0a`に使用し、続けます...

### ヘッダーを使用してIPの起源を変更する
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1


#or use double X-Forwared-For header
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
もしIPごとに10回の試行制限がある場合、10回ごとにヘッダー内のIPを変更してください。

### 他のヘッダーを変更する

ユーザーエージェント、クッキーなど、あなたを特定できる可能性のあるものを変更してみてください。

### パスに追加のパラメータを追加する

もし制限が`/resetpwd`というパスにある場合、そのパスをBFして、制限に達したら`/resetpwd?someparam=1`を試してみてください。

### 各試行の前にアカウントにログインする

もしかしたら、各試行（またはX回のセットごと）の前に**アカウントにログインする**と、制限がリセットされるかもしれません。もしログイン機能を攻撃している場合、Burpを使用してPitchfork攻撃を行い、**一定の試行ごとに資格情報を設定**することができます（リダイレクトをフォローするようにマークしてください）。

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* **サイバーセキュリティ企業**で働いていますか？ HackTricksであなたの会社を宣伝したいですか？またはPEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたりしたいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。

</details>

![](<../.gitbook/assets/image (9) (1) (2).png>)

\
[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
今すぐアクセスを取得：

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								# レート制限回避
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												GitBook: [#3523] No subject

											
										
										
											2022-09-30 10:43:59 +00:00
+								![](<../.gitbook/assets/image (9) (1) (2).png>)
-												GitBook: [#3432] No subject

											
										
										
											2022-08-31 22:35:39 +00:00
 								\
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
 								今すぐアクセスを取得：
-												GitBook: [#3432] No subject

											
										
										
											2022-08-31 22:35:39 +00:00
 								{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												update twitter

											
										
										
											2023-04-25 18:35:28 +00:00
+								<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								* **サイバーセキュリティ企業で働いていますか？** **HackTricksで会社を宣伝**したいですか？または、**最新バージョンのPEASSを入手**したいですか？または、HackTricksをPDFでダウンロードしたいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
 								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
 								* [**公式のPEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
 								* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**
 								* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								### 類似のエンドポイントの使用
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								`/api/v3/sign-up`エンドポイントを攻撃している場合は、`/Sing-up`、`/SignUp`、`/singup`などに対してブルートフォース攻撃を試みてください...
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								また、コードやパラメータに`%00、%0d%0a、%0d、%0a、%09、%0C、%20`のような空白バイトを追加してみてください。例えば、`code=1234%0a`のようにするか、メールのコードをリクエストしている場合は、5回の試行のうち、最初の5回を`example@email.com`に使用し、次に`example@email.com%0a`に使用し、`example@email.com%0a%0a`に使用し、続けます...
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								### ヘッダーを使用してIPの起源を変更する
-												GitBook: [master] 3 pages modified
											
										
										
											2021-07-26 10:54:04 +00:00
+								```bash
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								X-Originating-IP: 127.0.0.1
 								X-Forwarded-For: 127.0.0.1
 								X-Remote-IP: 127.0.0.1
 								X-Remote-Addr: 127.0.0.1
-												GitBook: [master] 2 pages modified
											
										
										
											2020-08-25 08:42:39 +00:00
+								X-Client-IP: 127.0.0.1
 								X-Host: 127.0.0.1
 								X-Forwared-Host: 127.0.0.1
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
 								#or use double X-Forwared-For header
 								X-Forwarded-For:
 								X-Forwarded-For: 127.0.0.1
 								```
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								もしIPごとに10回の試行制限がある場合、10回ごとにヘッダー内のIPを変更してください。
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								### 他のヘッダーを変更する
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								ユーザーエージェント、クッキーなど、あなたを特定できる可能性のあるものを変更してみてください。
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								### パスに追加のパラメータを追加する
-												GitBook: [master] 3 pages modified
											
										
										
											2021-07-26 10:54:04 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								もし制限が`/resetpwd`というパスにある場合、そのパスをBFして、制限に達したら`/resetpwd?someparam=1`を試してみてください。
-												GitBook: [master] 3 pages modified
											
										
										
											2021-07-26 10:54:04 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								### 各試行の前にアカウントにログインする
-												GitBook: [#2865] update

											
										
										
											2021-11-28 11:01:58 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								もしかしたら、各試行（またはX回のセットごと）の前に**アカウントにログインする**と、制限がリセットされるかもしれません。もしログイン機能を攻撃している場合、Burpを使用してPitchfork攻撃を行い、**一定の試行ごとに資格情報を設定**することができます（リダイレクトをフォローするようにマークしてください）。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								<details>
-												update twitter

											
										
										
											2023-04-25 18:35:28 +00:00
+								<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								* **サイバーセキュリティ企業**で働いていますか？ HackTricksであなたの会社を宣伝したいですか？またはPEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたりしたいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
 								* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
 								* [**公式のPEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
 								* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
 								* **ハッキングのトリックを共有するには、[hacktricks repo](https://github.com/carlospolop/hacktricks)と[hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												GitBook: [#3523] No subject

											
										
										
											2022-09-30 10:43:59 +00:00
+								![](<../.gitbook/assets/image (9) (1) (2).png>)
-												GitBook: [#3432] No subject

											
										
										
											2022-08-31 22:35:39 +00:00
 								\
-												Translated to Japanese

											
										
										
											2023-07-07 23:42:27 +00:00
+								[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築**および**自動化**します。\
 								今すぐアクセスを取得：
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												GitBook: [#3432] No subject

											
										
										
											2022-08-31 22:35:39 +00:00
+								{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}