hacktricks/pentesting-web/rate-limit-bypass.md

5.1 KiB

Salto de límite de velocidad


Utiliza Trickest para construir y automatizar flujos de trabajo fácilmente con las herramientas comunitarias más avanzadas del mundo.
¡Accede hoy mismo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Técnicas de salto de límite de velocidad

Explorando Endpoints Similares

Deberían realizarse intentos de ataques de fuerza bruta en variaciones del endpoint objetivo, como /api/v3/sign-up, incluyendo alternativas como /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up, etc.

Incorporando Caracteres en Blanco en Código o Parámetros

Insertar bytes en blanco como %00, %0d%0a, %0d, %0a, %09, %0C, %20 en el código o parámetros puede ser una estrategia útil. Por ejemplo, ajustar un parámetro a code=1234%0a permite extender los intentos a través de variaciones en la entrada, como agregar caracteres de nueva línea a una dirección de correo electrónico para evitar las limitaciones de intentos.

Manipulando el Origen de IP a través de Encabezados

Modificar los encabezados para alterar el origen de IP percibido puede ayudar a evadir la limitación de velocidad basada en IP. Encabezados como X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, incluyendo el uso de múltiples instancias de X-Forwarded-For, pueden ajustarse para simular solicitudes desde diferentes IPs.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Cambiando Otros Encabezados

Se recomienda alterar otros encabezados de solicitud como el user-agent y las cookies, ya que estos también pueden ser utilizados para identificar y rastrear patrones de solicitud. Cambiar estos encabezados puede prevenir el reconocimiento y seguimiento de las actividades del solicitante.

Aprovechando el Comportamiento de la Puerta de Enlace de la API

Algunas puertas de enlace de API están configuradas para aplicar limitación de velocidad basada en la combinación de punto final y parámetros. Al variar los valores de los parámetros o agregar parámetros no significativos a la solicitud, es posible eludir la lógica de limitación de velocidad de la puerta de enlace, haciendo que cada solicitud parezca única. Por ejemplo /resetpwd?someparam=1.

Iniciar Sesión en Tu Cuenta Antes de Cada Intento

Iniciar sesión en una cuenta antes de cada intento, o cada conjunto de intentos, podría restablecer el contador de límite de velocidad. Esto es especialmente útil al probar funcionalidades de inicio de sesión. Utilizar un ataque Pitchfork en herramientas como Burp Suite, para rotar credenciales cada pocos intentos y asegurarse de marcar seguir redirecciones, puede reiniciar efectivamente los contadores de límite de velocidad.

Utilizando Redes de Proxy

Desplegar una red de proxies para distribuir las solicitudes a través de múltiples direcciones IP puede eludir efectivamente los límites de velocidad basados en IP. Al enrutar el tráfico a través de varios proxies, cada solicitud parece originarse desde una fuente diferente, diluyendo la efectividad del límite de velocidad.

Dividir el Ataque Entre Diferentes Cuentas o Sesiones

Si el sistema objetivo aplica límites de velocidad en base a una cuenta o sesión, distribuir el ataque o prueba entre múltiples cuentas o sesiones puede ayudar a evitar la detección. Este enfoque requiere gestionar múltiples identidades o tokens de sesión, pero puede distribuir efectivamente la carga para mantenerse dentro de los límites permitidos.