# Παράκαμψη Όριου Ρυθμού

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
Χρησιμοποιήστε το [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) για να δημιουργήσετε εύκολα και να **αυτοματοποιήσετε ροές εργασίας** με τα πιο προηγμένα εργαλεία της παγκόσμιας κοινότητας.\
Αποκτήστε πρόσβαση σήμερα:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}

<details>

<summary><strong>Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Άλλοι τρόποι υποστήριξης του HackTricks:

* Αν θέλετε να δείτε την **εταιρεία σας διαφημισμένη στο HackTricks** ή να **κατεβάσετε το HackTricks σε μορφή PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
* Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ανακαλύψτε [**την Οικογένεια PEASS**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα τηλεγραφήματος**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs** στα [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του github.

</details>

## Τεχνικές παράκαμψης ορίου ρυθμού

### Εξερεύνηση Παρόμοιων Τερματικών

Θα πρέπει να γίνουν προσπάθειες για εκτέλεση επιθέσεων βίας σε παραλλαγές του στοχευμένου τερματικού, όπως `/api/v3/sign-up`, συμπεριλαμβανομένων εναλλακτικών όπως `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` κλπ.

### Ενσωμάτωση Κενών Χαρακτήρων σε Κώδικα ή Παραμέτρους

Η εισαγωγή κενών bytes όπως `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` σε κώδικα ή παραμέτρους μπορεί να είναι μια χρήσιμη στρατηγική. Για παράδειγμα, η προσαρμογή μιας παραμέτρου σε `code=1234%0a` επιτρέπει την επέκταση των προσπαθειών μέσω παραλλαγών στην είσοδο, όπως η προσθήκη χαρακτήρων νέας γραμμής σε μια διεύθυνση email για να παρακάμψετε τους περιορισμούς προσπαθειών.

### Αλλαγή της Προέλευσης IP μέσω Επικεφαλίδων

Η τροποποίηση των επικεφαλίδων για να αλλάξετε την αντιληπτή προέλευση IP μπορεί να βοηθήσει στην αποφυγή της περιοριστικής λειτουργίας βάσει IP. Επικεφαλίδες όπως `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, συμπεριλαμβανομένης της χρήσης πολλαπλών περιπτώσεων του `X-Forwarded-For`, μπορούν να προσαρμοστούν για να προσομοιώσουν αιτήσεις από διαφορετικές IP.
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
### Αλλαγή Άλλων Επικεφαλίδων

Συνιστάται η τροποποίηση άλλων επικεφαλίδων αιτήσεων, όπως το user-agent και τα cookies, καθώς αυτά μπορούν να χρησιμοποιηθούν για την αναγνώριση και παρακολούθηση μοτίβων αιτήσεων. Η αλλαγή αυτών των επικεφαλίδων μπορεί να αποτρέψει την αναγνώριση και παρακολούθηση των δραστηριοτήτων του αιτούντος.

### Εκμεταλλευόμενος την Συμπεριφορά της API Gateway

Ορισμένες πύλες API είναι ρυθμισμένες να εφαρμόζουν περιορισμό ρυθμού βάσει του συνδυασμού του σημείου πρόσβασης και των παραμέτρων. Μεταβάλλοντας τις τιμές των παραμέτρων ή προσθέτοντας μη σημαντικές παραμέτρους στο αίτημα, είναι δυνατόν να παρακαμφθεί η λογική περιορισμού ρυθμού της πύλης, καθιστώντας κάθε αίτηση μοναδική. Για παράδειγμα `/resetpwd?someparam=1`.

### Σύνδεση στον Λογαριασμό Σας Πριν από Κάθε Προσπάθεια

Η σύνδεση σε έναν λογαριασμό πριν από κάθε προσπάθεια, ή κάθε σύνολο προσπαθειών, μπορεί να επαναφέρει το μετρητή περιορισμού ρυθμού. Αυτό είναι ιδιαίτερα χρήσιμο όταν δοκιμάζετε λειτουργίες σύνδεσης. Η χρήση επίθεσης Pitchfork σε εργαλεία όπως το Burp Suite, για την ανανέωση διαπιστευτήριων κάθε λίγες προσπάθειες και η διασφάλιση ότι οι ανακατευθύνσεις ακολουθούνται, μπορεί να επανεκκινήσει αποτελεσματικά τους μετρητές περιορισμού ρυθμού.

### Χρήση Δικτύων Proxy

Η ανάπτυξη ενός δικτύου προξιές για τη διανομή των αιτημάτων σε πολλές διευθύνσεις IP μπορεί να παρακαμφθεί αποτελεσματικά τους περιορισμούς ρυθμού βάσει IP. Δρομολογώντας την κίνηση μέσω διαφόρων προξιές, κάθε αίτηση φαίνεται να προέρχεται από διαφορετική πηγή, αραιώνοντας την αποτελεσματικότητα του περιορισμού ρυθμού.

### Διαίρεση της Επίθεσης σε Διαφορετικούς Λογαριασμούς ή Συνεδρίες

Εάν το σύστημα-στόχος εφαρμόζει περιορισμούς ρυθμού βάσει ανά λογαριασμό ή ανά συνεδρία, η διανομή της επίθεσης ή του τεστ σε πολλούς λογαριασμούς ή συνεδρίες μπορεί να βοηθήσει στην αποφυγή ανίχνευσης. Αυτή η προσέγγιση απαιτεί τη διαχείριση πολλαπλών ταυτοτήτων ή διακριτικών συνεδριακών διακριτικών, αλλά μπορεί να διανείμει αποτελεσματικά το φορτίο για να παραμείνει εντός των επιτρεπόμενων ορίων.

<details>

<summary><strong>Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Άλλοι τρόποι υποστήριξης του HackTricks:

* Αν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε PDF, ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
* Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ανακαλύψτε [**την Οικογένεια PEASS**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Εγγραφείτε** στην 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στην [**ομάδα τηλεγραφήματος**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του github.

</details>

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
Χρησιμοποιήστε το [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) για την εύκολη δημιουργία και **αυτοματοποίηση ροών εργασίας** με τα πιο **προηγμένα εργαλεία** της κοινότητας.\
Αποκτήστε Πρόσβαση Σήμερα:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}