hacktricks/pentesting-web/rate-limit-bypass.md

# Bypassiranje ograničenja brzine

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

\
Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da biste lako izgradili i **automatizovali radne tokove** koji se pokreću najnaprednijim alatima zajednice.\
Dobijte pristup danas:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **oglašavanje vaše kompanije u HackTricks-u** ili **preuzmete HackTricks u PDF formatu** Pogledajte [**PLANOVE ZA PRETPLATU**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

## Tehnike za zaobilaženje ograničenja brzine

### Istraživanje sličnih krajnjih tačaka
Treba pokušati izvršiti napade brute force na varijacije ciljane krajnje tačke, kao što su `/api/v3/sign-up`, uključujući alternative poput `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` itd.

### Uključivanje praznih karaktera u kod ili parametre
Umetanje praznih bajtova poput `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` u kod ili parametre može biti korisna strategija. Na primer, podešavanje parametra na `code=1234%0a` omogućava proširenje pokušaja kroz varijacije unosa, poput dodavanja novih linija u e-mail adresu kako bi se izbegla ograničenja pokušaja.

### Manipulacija IP porekla putem zaglavlja
Modifikacija zaglavlja radi promene percepcije IP porekla može pomoći u izbegavanju ograničenja brzine zasnovanih na IP adresi. Zaglavlja poput `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, uključujući korišćenje više instanci `X-Forwarded-For`, mogu se prilagoditi kako bi se simulirali zahtevi sa različitih IP adresa.
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
### Menjanje drugih zaglavlja
Preporučuje se izmena drugih zaglavlja zahteva kao što su korisnički agent i kolačići, jer se oni takođe mogu koristiti za identifikaciju i praćenje uzoraka zahteva. Menjanje ovih zaglavlja može sprečiti prepoznavanje i praćenje aktivnosti zahtevaoca.

### Iskorišćavanje ponašanja API Gateway-a
Neke API kapije su konfigurisane da primenjuju ograničenje brzine na osnovu kombinacije endpointa i parametara. Variranjem vrednosti parametara ili dodavanjem nebitnih parametara zahtevu, moguće je zaobići logiku ograničenja brzine kapije, čineći svaki zahtev jedinstvenim.
Na primer `/resetpwd?someparam=1`.

### Prijavljivanje na svoj nalog pre svakog pokušaja
Prijavljivanje na nalog pre svakog pokušaja, ili svakog seta pokušaja, može resetovati brojač ograničenja brzine. Ovo je posebno korisno prilikom testiranja funkcionalnosti prijavljivanja. Korišćenje Pitchfork napada u alatima poput Burp Suite-a, za rotiranje akreditiva svakih nekoliko pokušaja i obeležavanje praćenja preusmeravanja, može efikasno restartovati brojače ograničenja brzine.

### Korišćenje mreže proksi servera
Postavljanje mreže proksi servera radi distribucije zahteva preko više IP adresa može efikasno zaobići IP bazirana ograničenja brzine. Rutiranjem saobraćaja preko različitih proksi servera, svaki zahtev će izgledati kao da potiče sa različitog izvora, čime se umanjuje efikasnost ograničenja brzine.

### Podela napada na različite naloge ili sesije
Ako ciljni sistem primenjuje ograničenja brzine na osnovu naloga ili sesija, distribucija napada ili testa na više naloga ili sesija može pomoći u izbegavanju otkrivanja. Ovaj pristup zahteva upravljanje više identiteta ili tokena sesija, ali može efikasno raspodeliti opterećenje kako bi se ostalo unutar dozvoljenih granica.


<details>

<summary><strong>Naučite hakovanje AWS-a od početka do naprednog nivoa sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu u HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>

<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>

\
Koristite [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da jednostavno izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice.\
Dobijte pristup danas:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Translated to Serbian 2024-02-10 13:11:20 +00:00			`# Bypassiranje ograničenja brzine`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
GITBOOK-4230: change request with no subject merged in GitBook 2024-01-10 00:59:55 +00:00			`<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>`
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00
			`\`
Translated to Serbian 2024-02-10 13:11:20 +00:00			`Koristite [Trickest](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da biste lako izgradili i automatizovali radne tokove koji se pokreću najnaprednijim alatima zajednice.\`
			`Dobijte pristup danas:`
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00
			`{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

Translated to Serbian 2024-02-10 13:11:20 +00:00			`<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`Drugi načini podrške HackTricks-u:`
arte 2023-12-31 01:25:17 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`* Ako želite da vidite oglašavanje vaše kompanije u HackTricks-u ili preuzmete HackTricks u PDF formatu Pogledajte [PLANOVE ZA PRETPLATU](https://github.com/sponsors/carlospolop)!`
			`* Nabavite [zvanični PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Otkrijte [The PEASS Family](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [NFT-ova](https://opensea.io/collection/the-peass-family)`
			`* Pridružite se 💬 [Discord grupi](https://discord.gg/hRep4RUj7f) ili [telegram grupi](https://t.me/peass) ili nas pratite na Twitter-u 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Podelite svoje hakovanje trikove slanjem PR-ova na [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated to Serbian 2024-02-10 13:11:20 +00:00			`## Tehnike za zaobilaženje ograničenja brzine`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Istraživanje sličnih krajnjih tačaka`
			Treba pokušati izvršiti napade brute force na varijacije ciljane krajnje tačke, kao što su `/api/v3/sign-up`, uključujući alternative poput `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` itd.
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Uključivanje praznih karaktera u kod ili parametre`
			Umetanje praznih bajtova poput `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` u kod ili parametre može biti korisna strategija. Na primer, podešavanje parametra na `code=1234%0a` omogućava proširenje pokušaja kroz varijacije unosa, poput dodavanja novih linija u e-mail adresu kako bi se izbegla ograničenja pokušaja.
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Manipulacija IP porekla putem zaglavlja`
			Modifikacija zaglavlja radi promene percepcije IP porekla može pomoći u izbegavanju ograničenja brzine zasnovanih na IP adresi. Zaglavlja poput `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, uključujući korišćenje više instanci `X-Forwarded-For`, mogu se prilagoditi kako bi se simulirali zahtevi sa različitih IP adresa.
GitBook: [master] 3 pages modified 2021-07-26 10:54:04 +00:00			```bash
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`X-Originating-IP: 127.0.0.1`
			`X-Forwarded-For: 127.0.0.1`
			`X-Remote-IP: 127.0.0.1`
			`X-Remote-Addr: 127.0.0.1`
GitBook: [master] 2 pages modified 2020-08-25 08:42:39 +00:00			`X-Client-IP: 127.0.0.1`
			`X-Host: 127.0.0.1`
			`X-Forwared-Host: 127.0.0.1`

a 2024-02-06 03:10:38 +00:00			`# Double X-Forwarded-For header example`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`X-Forwarded-For:`
			`X-Forwarded-For: 127.0.0.1`
			```
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Menjanje drugih zaglavlja`
			`Preporučuje se izmena drugih zaglavlja zahteva kao što su korisnički agent i kolačići, jer se oni takođe mogu koristiti za identifikaciju i praćenje uzoraka zahteva. Menjanje ovih zaglavlja može sprečiti prepoznavanje i praćenje aktivnosti zahtevaoca.`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Iskorišćavanje ponašanja API Gateway-a`
			`Neke API kapije su konfigurisane da primenjuju ograničenje brzine na osnovu kombinacije endpointa i parametara. Variranjem vrednosti parametara ili dodavanjem nebitnih parametara zahtevu, moguće je zaobići logiku ograničenja brzine kapije, čineći svaki zahtev jedinstvenim.`
			Na primer `/resetpwd?someparam=1`.
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Prijavljivanje na svoj nalog pre svakog pokušaja`
			`Prijavljivanje na nalog pre svakog pokušaja, ili svakog seta pokušaja, može resetovati brojač ograničenja brzine. Ovo je posebno korisno prilikom testiranja funkcionalnosti prijavljivanja. Korišćenje Pitchfork napada u alatima poput Burp Suite-a, za rotiranje akreditiva svakih nekoliko pokušaja i obeležavanje praćenja preusmeravanja, može efikasno restartovati brojače ograničenja brzine.`
GitBook: [master] 3 pages modified 2021-07-26 10:54:04 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Korišćenje mreže proksi servera`
			`Postavljanje mreže proksi servera radi distribucije zahteva preko više IP adresa može efikasno zaobići IP bazirana ograničenja brzine. Rutiranjem saobraćaja preko različitih proksi servera, svaki zahtev će izgledati kao da potiče sa različitog izvora, čime se umanjuje efikasnost ograničenja brzine.`
GitBook: [master] 3 pages modified 2021-07-26 10:54:04 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`### Podela napada na različite naloge ili sesije`
			`Ako ciljni sistem primenjuje ograničenja brzine na osnovu naloga ili sesija, distribucija napada ili testa na više naloga ili sesija može pomoći u izbegavanju otkrivanja. Ovaj pristup zahteva upravljanje više identiteta ili tokena sesija, ali može efikasno raspodeliti opterećenje kako bi se ostalo unutar dozvoljenih granica.`
GitBook: [#2865] update 2021-11-28 11:01:58 +00:00
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

Translated to Serbian 2024-02-10 13:11:20 +00:00			`<summary><strong>Naučite hakovanje AWS-a od početka do naprednog nivoa sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`Drugi načini podrške HackTricks-u:`
arte 2023-12-31 01:25:17 +00:00
Translated to Serbian 2024-02-10 13:11:20 +00:00			`* Ako želite da vidite vašu kompaniju reklamiranu u HackTricks-u ili preuzmete HackTricks u PDF formatu proverite [SUBSCRIPTION PLANS](https://github.com/sponsors/carlospolop)!`
			`* Nabavite [zvanični PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Otkrijte [The PEASS Family](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [NFT-ova](https://opensea.io/collection/the-peass-family)`
			`* Pridružite se 💬 [Discord grupi](https://discord.gg/hRep4RUj7f) ili [telegram grupi](https://t.me/peass) ili nas pratite na Twitter-u 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Podelite svoje hakovanje trikove slanjem PR-ova na [HackTricks](https://github.com/carlospolop/hacktricks) i [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

GITBOOK-4230: change request with no subject merged in GitBook 2024-01-10 00:59:55 +00:00			`<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>`
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00
			`\`
Translated to Serbian 2024-02-10 13:11:20 +00:00			`Koristite [Trickest](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) da jednostavno izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice.\`
			`Dobijte pristup danas:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00			`{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}`