hacktricks/pentesting-web/rate-limit-bypass.md

# दर सीमा उल्लंघन

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) का उपयोग करें और आसानी से **दुनिया के सबसे उन्नत** समुदाय उपकरणों द्वारा संचालित **कार्यप्रवाह** बनाएं।\
आज ही पहुंचें:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}

<details>

<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>

HackTricks का समर्थन करने के अन्य तरीके:

* यदि आप अपनी कंपनी का **विज्ञापन HackTricks में देखना चाहते हैं** या **HackTricks को PDF में डाउनलोड करना चाहते हैं** तो [**सदस्यता योजनाएं देखें**](https://github.com/sponsors/carlospolop)!
* [**आधिकारिक PEASS और HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* हमारे विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) कलेक्शन, [**The PEASS Family**](https://opensea.io/collection/the-peass-family) खोजें
* **शामिल हों** 💬 [**डिस्कॉर्ड समूह**](https://discord.gg/hRep4RUj7f) या [**टेलीग्राम समूह**](https://t.me/peass) या हमें **ट्विटर** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** पर फॉलो** करें।
* **हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके** [**HackTricks**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में।

</details>

## दर सीमा उल्लंघन तकनीकें

### समान अंत बिंदु अन्वेषण

प्रयास किए जाने चाहिए कि लक्षित अंत बिंदु के विविधताओं पर ब्रूट फोर्स हमले किए जाएं, जैसे कि `/api/v3/sign-up`, `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` आदि।

### कोड या पैरामीटर में रिक्त वर्ण शामिल करना

कोड या पैरामीटर में `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` जैसे रिक्त बाइट डालना एक उपयोगी रणनीति हो सकती है। उदाहरण के लिए, पैरामीटर को `code=1234%0a` पर समायोजित करने से प्रयासों को विस्तारित किया जा सकता है जैसे कि ईमेल पते में न्यूलाइन वर्ण जोड़कर प्रयास सीमा को दौर करने के लिए।

### हेडर्स के माध्यम से आईपी मूल का परिवर्तन

समझे गए आईपी मूल को बदलने के लिए हेडर्स को संशोधित करना आईपी-आधारित दर सीमा नियंत्रण से बचने में मदद कर सकता है। `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host` जैसे हेडर्स, `X-Forwarded-For` के एकाधिक उदाहरणों का उपयोग करना, विभिन्न आईपी से अनुरोधों का अनुकरण करने के लिए समायोजित किया जा सकता है।
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
### अन्य हेडर्स को बदलना

उपयोगकर्ता एजेंट और कुकी जैसे अन्य अनुरोध हेडर्स को बदलना सुझावित है, क्योंकि इन्हें अनुरोध पैटर्न की पहचान और ट्रैक करने के लिए इस्तेमाल किया जा सकता है। इन हेडर्स को बदलने से अनुरोधकर्ता की गतिविधियों की पहचान और ट्रैकिंग को रोका जा सकता है।

### API गेटवे व्यवहार का उपयोग करना

कुछ API गेटवे को अंतबिंदु और पैरामीटर के संयोजन पर आधारित दर सीमा लगाने की विन्यासित किया गया है। पैरामीटर मानों को बदलकर या अनर्थक पैरामीटर जोड़कर अनुरोध को गेटवे की दर सीमा तार्किकता को दूर करना संभव है, जिससे प्रत्येक अनुरोध अद्वितीय दिखाई देता है। उदाहरण के लिए `/resetpwd?someparam=1`।

### प्रत्येक प्रयास से पहले अपने खाते में लॉगिन करना

प्रत्येक प्रयास से पहले खाते में लॉगिन करना, या प्रत्येक सेट के प्रयासों के बाद, दर सीमा गिनती को रीसेट कर सकता है। यह विशेष रूप से लॉगिन कार्यक्षमताओं का परीक्षण करते समय उपयोगी है। Burp Suite जैसे उपकरणों में Pitchfork हमला का उपयोग करना, क्रेडेंशियल्स को कुछ प्रयासों के बाद परिवर्तित करना और पुनर्निर्देशन को चिह्नित करना, दर सीमा गिनती को पुनरारंभ कर सकता है।

### प्रॉक्सी नेटवर्क का उपयोग करना

अनुरोधों को कई आईपी पतों पर वितरित करने के लिए प्रॉक्सी नेटवर्क लागू करना आईपी-आधारित दर सीमाओं को पार करने में कारगर हो सकता है। विभिन्न प्रॉक्सी के माध्यम से ट्रैफिक को रूट करके, प्रत्येक अनुरोध को एक विभिन्न स्रोत से उत्पन्न होने का अनुभव होता है, जिससे दर सीमा की प्रभावकारिता को घटाया जा सकता है।

### विभिन्न खातों या सत्रों पर हमला विभाजन

यदि लक्षित सिस्टम एक खाते या सत्र के आधार पर दर सीमाएं लागू करता है, तो हमला या परीक्षण को विभिन्न खातों या सत्रों पर विभाजित करना पकड़ने से बचाने में मदद कर सकता है। इस दृष्टिकोण को प्रबंधित करने के लिए कई पहचानें या सत्र टोकन का प्रबंधन करने की आवश्यकता होती है, लेकिन अनुमति दी गई सीमाओं के भीतर रहने के लिए भार को वितरित करने में सक्षम हो सकता है।
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00			`# दर सीमा उल्लंघन`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>`
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00
			`\`
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`[Trickest](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) का उपयोग करें और आसानी से दुनिया के सबसे उन्नत समुदाय उपकरणों द्वारा संचालित कार्यप्रवाह बनाएं।\`
			`आज ही पहुंचें:`
GitBook: [#3432] No subject 2022-08-31 22:35:39 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`<summary><strong>जानें AWS हैकिंग को शून्य से हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2023-12-31 07:08:04 +00:00			`HackTricks का समर्थन करने के अन्य तरीके:`

Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00			`* यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो [सदस्यता योजनाएं देखें](https://github.com/sponsors/carlospolop)!`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 05:25:02 +00:00			`* [आधिकारिक PEASS और HackTricks स्वैग](https://peass.creator-spring.com) प्राप्त करें`
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`* हमारे विशेष [NFTs](https://opensea.io/collection/the-peass-family) कलेक्शन, [The PEASS Family](https://opensea.io/collection/the-peass-family) खोजें`
			`* शामिल हों 💬 [डिस्कॉर्ड समूह](https://discord.gg/hRep4RUj7f) या [टेलीग्राम समूह](https://t.me/peass) या हमें ट्विटर 🐦 [@carlospolopm](https://twitter.com/hacktricks\_live) पर फॉलो करें।`
			`* हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके [HackTricks](https://github.com/carlospolop/hacktricks) और [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) github repos में।`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00			`## दर सीमा उल्लंघन तकनीकें`

Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`### समान अंत बिंदु अन्वेषण`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2023-12-31 07:08:04 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			प्रयास किए जाने चाहिए कि लक्षित अंत बिंदु के विविधताओं पर ब्रूट फोर्स हमले किए जाएं, जैसे कि `/api/v3/sign-up`, `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` आदि।
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 05:25:02 +00:00			`### कोड या पैरामीटर में रिक्त वर्ण शामिल करना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			कोड या पैरामीटर में `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` जैसे रिक्त बाइट डालना एक उपयोगी रणनीति हो सकती है। उदाहरण के लिए, पैरामीटर को `code=1234%0a` पर समायोजित करने से प्रयासों को विस्तारित किया जा सकता है जैसे कि ईमेल पते में न्यूलाइन वर्ण जोड़कर प्रयास सीमा को दौर करने के लिए।
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`### हेडर्स के माध्यम से आईपी मूल का परिवर्तन`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			समझे गए आईपी मूल को बदलने के लिए हेडर्स को संशोधित करना आईपी-आधारित दर सीमा नियंत्रण से बचने में मदद कर सकता है। `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host` जैसे हेडर्स, `X-Forwarded-For` के एकाधिक उदाहरणों का उपयोग करना, विभिन्न आईपी से अनुरोधों का अनुकरण करने के लिए समायोजित किया जा सकता है।
GitBook: [master] 3 pages modified 2021-07-26 10:54:04 +00:00			```bash
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`X-Originating-IP: 127.0.0.1`
			`X-Forwarded-For: 127.0.0.1`
			`X-Remote-IP: 127.0.0.1`
			`X-Remote-Addr: 127.0.0.1`
GitBook: [master] 2 pages modified 2020-08-25 08:42:39 +00:00			`X-Client-IP: 127.0.0.1`
			`X-Host: 127.0.0.1`
			`X-Forwared-Host: 127.0.0.1`

Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 05:25:02 +00:00			`# Double X-Forwarded-For header example`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`X-Forwarded-For:`
			`X-Forwarded-For: 127.0.0.1`
			```
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 05:25:02 +00:00			`### अन्य हेडर्स को बदलना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			उपयोगकर्ता एजेंट और कुकी जैसे अन्य अनुरोध हेडर्स को बदलना सुझावित है, क्योंकि इन्हें अनुरोध पैटर्न की पहचान और ट्रैक करने के लिए इस्तेमाल किया जा सकता है। इन हेडर्स को बदलने से अनुरोधकर्ता की गतिविधियों की पहचान और ट्रैकिंग को रोका जा सकता है।
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`### API गेटवे व्यवहार का उपयोग करना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			कुछ API गेटवे को अंतबिंदु और पैरामीटर के संयोजन पर आधारित दर सीमा लगाने की विन्यासित किया गया है। पैरामीटर मानों को बदलकर या अनर्थक पैरामीटर जोड़कर अनुरोध को गेटवे की दर सीमा तार्किकता को दूर करना संभव है, जिससे प्रत्येक अनुरोध अद्वितीय दिखाई देता है। उदाहरण के लिए `/resetpwd?someparam=1`।
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2023-12-31 07:08:04 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 05:25:02 +00:00			`### प्रत्येक प्रयास से पहले अपने खाते में लॉगिन करना`
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			प्रत्येक प्रयास से पहले खाते में लॉगिन करना, या प्रत्येक सेट के प्रयासों के बाद, दर सीमा गिनती को रीसेट कर सकता है। यह विशेष रूप से लॉगिन कार्यक्षमताओं का परीक्षण करते समय उपयोगी है। Burp Suite जैसे उपकरणों में Pitchfork हमला का उपयोग करना, क्रेडेंशियल्स को कुछ प्रयासों के बाद परिवर्तित करना और पुनर्निर्देशन को चिह्नित करना, दर सीमा गिनती को पुनरारंभ कर सकता है।
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			`### प्रॉक्सी नेटवर्क का उपयोग करना`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			अनुरोधों को कई आईपी पतों पर वितरित करने के लिए प्रॉक्सी नेटवर्क लागू करना आईपी-आधारित दर सीमाओं को पार करने में कारगर हो सकता है। विभिन्न प्रॉक्सी के माध्यम से ट्रैफिक को रूट करके, प्रत्येक अनुरोध को एक विभिन्न स्रोत से उत्पन्न होने का अनुभव होता है, जिससे दर सीमा की प्रभावकारिता को घटाया जा सकता है।
Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-03-17 18:36:12 +00:00
			`### विभिन्न खातों या सत्रों पर हमला विभाजन`

Translated ['crypto-and-stego/certificates.md', 'generic-methodologies-a 2024-05-06 12:13:38 +00:00			यदि लक्षित सिस्टम एक खाते या सत्र के आधार पर दर सीमाएं लागू करता है, तो हमला या परीक्षण को विभिन्न खातों या सत्रों पर विभाजित करना पकड़ने से बचाने में मदद कर सकता है। इस दृष्टिकोण को प्रबंधित करने के लिए कई पहचानें या सत्र टोकन का प्रबंधन करने की आवश्यकता होती है, लेकिन अनुमति दी गई सीमाओं के भीतर रहने के लिए भार को वितरित करने में सक्षम हो सकता है।