# Bypassiranje ograničenja brzine
\ Koristite [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice na svetu.\ Dobijte pristup danas: {% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)! Drugi načini podrške HackTricks-u: * Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)! * Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com) * Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family) * **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Podelite svoje hakovanje trikova slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
## Tehnike zaobilaženja ograničenja brzine ### Istraživanje sličnih krajnjih tačaka Treba pokušati izvršiti napade brute force na varijacije ciljane krajnje tačke, poput `/api/v3/sign-up`, uključujući alternative poput `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` itd. ### Uključivanje praznih karaktera u kod ili parametre Umetanje praznih bajtova poput `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` u kod ili parametre može biti korisna strategija. Na primer, prilagođavanje parametra u `code=1234%0a` omogućava proširenje pokušaja kroz varijacije unosa, poput dodavanja novih linija u email adresu kako bi se izbegla ograničenja pokušaja. ### Manipulisanje IP porekla putem zaglavlja Modifikovanje zaglavlja kako bi se promenilo percepirano IP poreklo može pomoći u izbegavanju ograničenja brzine zasnovanih na IP adresi. Zaglavlja poput `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, uključujući korišćenje više instanci `X-Forwarded-For`, mogu se prilagoditi kako bi se simulirali zahtevi sa različitih IP adresa. ```bash X-Originating-IP: 127.0.0.1 X-Forwarded-For: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 X-Client-IP: 127.0.0.1 X-Host: 127.0.0.1 X-Forwared-Host: 127.0.0.1 # Double X-Forwarded-For header example X-Forwarded-For: X-Forwarded-For: 127.0.0.1 ``` ### Menjanje drugih zaglavlja Preporučuje se menjanje drugih zaglavlja zahteva kao što su korisnički agent i kolačići, jer se ona takođe mogu koristiti za identifikaciju i praćenje obrazaca zahteva. Menjanje ovih zaglavlja može sprečiti prepoznavanje i praćenje aktivnosti zahtevaoca. ### Iskorišćavanje ponašanja API Gateway-a Neke API kapije su konfigurisane da primenjuju ograničenje brzine na osnovu kombinacije krajnje tačke i parametara. Varijacijom vrednosti parametara ili dodavanjem neznačajnih parametara zahtevu, moguće je zaobići logiku ograničenja brzine kapije, čineći da svaki zahtev izgleda jedinstveno. Na primer `/resetpwd?someparam=1`. ### Prijavljivanje na svoj nalog pre svakog pokušaja Prijavljivanje na nalog pre svakog pokušaja, ili svakog seta pokušaja, može resetovati brojač ograničenja brzine. Ovo je posebno korisno prilikom testiranja funkcionalnosti prijavljivanja. Korišćenje Pitchfork napada u alatima poput Burp Suite-a, za rotiranje akreditiva svakih nekoliko pokušaja i obezbeđivanje označavanja pratilaca preusmeravanja, može efikasno restartovati brojače ograničenja brzine. ### Korišćenje mreže proksi servera Postavljanje mreže proksi servera radi distribucije zahteva preko više IP adresa može efikasno zaobići IP-bazirana ograničenja brzine. Rutiranjem saobraćaja preko različitih proksi servera, svaki zahtev će izgledati kao da potiče iz različitog izvora, čime se razblažuje efikasnost ograničenja brzine. ### Podela napada na različite naloge ili sesije Ako ciljni sistem primenjuje ograničenja brzine na osnovu naloga ili sesija, distribuiranje napada ili testa preko više naloga ili sesija može pomoći u izbegavanju otkrivanja. Ovaj pristup zahteva upravljanje sa više identiteta ili sesijskih tokena, ali može efikasno raspodeliti opterećenje kako bi se ostalo unutar dozvoljenih granica.
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)! Drugi načini podrške HackTricks-u: * Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)! * Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com) * Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family) * **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Podelite svoje hakovanje trikova slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
\ Koristite [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) da lako izgradite i **automatizujete radne tokove** pokretane najnaprednijim alatima zajednice na svetu.\ Pristupite danas: {% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}