[**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks)'i kullanarak dünyanın **en gelişmiş** topluluk araçlarıyla desteklenen **otomatik iş akışları** oluşturun ve otomatikleştirin.\
<summary><strong>Sıfırdan kahraman olmak için AWS hackleme öğrenin</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* **Şirketinizi HackTricks'te reklamınızı görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**'da takip edin.**
* **Hacking püf noktalarınızı paylaşarak PR'ler göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.
Hedeflenen uç noktanın çeşitli varyasyonları üzerinde kaba kuvvet saldırıları gerçekleştirmek için denemeler yapılmalıdır, örneğin `/api/v3/sign-up` gibi hedeflenen uç noktanın alternatifleri olan `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` vb.
Koda veya parametrelere `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` gibi boş baytlar eklemek faydalı bir strateji olabilir. Örneğin, bir parametreyi `code=1234%0a` olarak ayarlamak, girişteki çeşitlilikler aracılığıyla denemeleri genişletmeyi sağlar, örneğin e-posta adresine yeni satır karakterleri ekleyerek deneme sınırlamalarını aşabilir.
Algılanan IP kökenini değiştirmek için başlıkları değiştirmek, IP tabanlı hız sınırlamasından kaçınmaya yardımcı olabilir. `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host` gibi başlıklar, farklı IP'lerden gelen istekleri simüle etmek için ayarlanabilir, birden fazla `X-Forwarded-For` örneği kullanılabilir.
Kullanıcı ajanı ve çerezler gibi diğer istek başlıklarını değiştirmek önerilir, çünkü bu istek desenlerini tanımlamak ve takip etmek için de kullanılabilir. Bu başlıkları değiştirmek, isteği yapanın faaliyetlerinin tanınmasını ve takip edilmesini engelleyebilir.
Bazı API gateway'leri, endpoint ve parametrelerin kombinasyonuna dayalı olarak hız sınırlaması uygulamak üzere yapılandırılmıştır. Parametre değerlerini değiştirerek veya isteğe anlamsız parametreler ekleyerek, gateway'in hız sınırlama mantığını atlayarak her isteğin benzersiz görünmesini sağlamak mümkündür. Örneğin `/resetpwd?someparam=1`.
Her denemeden önce veya her deneme setinden sonra hesaba giriş yapmak, hız sınırlama sayacını sıfırlayabilir. Bu özellikle giriş işlevlerini test ettiğinizde faydalıdır. Burp Suite gibi araçlarda Pitchfork saldırısını kullanarak, her birkaç denemede bir kimlik bilgilerini değiştirerek ve yönlendirmeleri takip etme işaretlendiğinde, hız sınırlama sayacını etkili bir şekilde sıfırlayabilirsiniz.
Çeşitli IP adreslerine istekleri dağıtmak için bir ağdaki proxy'leri dağıtmak, IP tabanlı hız sınırlarını etkili bir şekilde atlayabilir. Trafikleri çeşitli proxy'ler aracılığıyla yönlendirerek, her istek farklı bir kaynaktan geldiği gibi görünür, hız sınırlamanın etkinliğini azaltır.
Hedef sistem hesap veya oturum başına hız sınırları uygularsa, saldırıyı veya testi birden fazla hesap veya oturum arasında dağıtmak, tespit edilmeyi önlemeye yardımcı olabilir. Bu yaklaşım, birden fazla kimlik veya oturum belirteci yönetmeyi gerektirir, ancak izin verilen sınırlar içinde kalmak için yükü dağıtmak için etkili olabilir.
