hacktricks/pentesting-web/rate-limit-bypass.md

91 lines
6.9 KiB
Markdown

# Rate Limit Bypass
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
Verwenden Sie [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), um mühelos **Workflows zu erstellen** und zu **automatisieren**, die von den weltweit **fortschrittlichsten** Community-Tools unterstützt werden.\
Heute Zugriff erhalten:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) Github-Repositorys senden.
</details>
## Techniken zum Umgehen von Rate-Limits
### Erkunden ähnlicher Endpunkte
Es sollten Versuche unternommen werden, Brute-Force-Angriffe auf Variationen des Zielendpunkts durchzuführen, wie z.B. `/api/v3/sign-up`, einschließlich Alternativen wie `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` usw.
### Einbeziehung von Leerzeichen in Code oder Parametern
Das Einfügen von Leerbytes wie `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` in Code oder Parametern kann eine nützliche Strategie sein. Zum Beispiel ermöglicht die Anpassung eines Parameters auf `code=1234%0a` das Erweitern von Versuchen durch Variationen in der Eingabe, wie das Hinzufügen von Zeilenumbrüchen zu einer E-Mail-Adresse, um Einschränkungen bei Versuchen zu umgehen.
### Manipulation des IP-Ursprungs über Header
Das Ändern von Headern, um den wahrgenommenen IP-Ursprung zu verändern, kann helfen, IP-basierte Rate-Limits zu umgehen. Header wie `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, einschließlich der Verwendung mehrerer Instanzen von `X-Forwarded-For`, können angepasst werden, um Anfragen von verschiedenen IPs zu simulieren.
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1
# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
### Ändern anderer Header
Es wird empfohlen, andere Anfrageheader wie den User-Agent und Cookies zu ändern, da diese ebenfalls zur Identifizierung und Verfolgung von Anfrage-Mustern verwendet werden können. Durch Ändern dieser Header kann die Erkennung und Verfolgung der Aktivitäten des Anfragenden verhindert werden.
### Nutzung des Verhaltens des API-Gateways
Einige API-Gateways sind so konfiguriert, dass sie die Rate-Limitierung basierend auf der Kombination von Endpunkt und Parametern anwenden. Durch Variation der Parameterwerte oder Hinzufügen von nicht signifikanten Parametern zur Anfrage ist es möglich, die Rate-Limitierungslogik des Gateways zu umgehen, sodass jede Anfrage als einzigartig erscheint. Zum Beispiel `/resetpwd?someparam=1`.
### Einloggen in Ihr Konto vor jedem Versuch
Das Einloggen in ein Konto vor jedem Versuch oder jeder Gruppe von Versuchen könnte den Rate-Limit-Zähler zurücksetzen. Dies ist besonders nützlich beim Testen von Login-Funktionalitäten. Die Nutzung eines Pitchfork-Angriffs in Tools wie Burp Suite, um Anmeldeinformationen alle paar Versuche zu wechseln und sicherzustellen, dass Weiterleitungen markiert sind, kann die Rate-Limit-Zähler effektiv zurücksetzen.
### Nutzung von Proxy-Netzwerken
Die Bereitstellung eines Netzwerks von Proxies zur Verteilung der Anfragen über mehrere IP-Adressen kann IP-basierte Rate-Limits effektiv umgehen. Durch das Routen des Datenverkehrs über verschiedene Proxies erscheint jede Anfrage als von einer anderen Quelle stammend, was die Wirksamkeit des Rate-Limits verringert.
### Aufteilen des Angriffs auf verschiedene Konten oder Sitzungen
Wenn das Zielsystem Rate-Limits auf Konto- oder Sitzungsbasis anwendet, kann die Verteilung des Angriffs oder Tests auf mehrere Konten oder Sitzungen helfen, eine Entdeckung zu vermeiden. Dieser Ansatz erfordert das Verwalten mehrerer Identitäten oder Sitzungstoken, kann aber die Last effektiv verteilen, um innerhalb der zulässigen Grenzen zu bleiben.
<details>
<summary><strong>Erlernen Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
Verwenden Sie [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), um einfach Workflows zu erstellen und zu **automatisieren**, unterstützt von den weltweit **fortschrittlichsten** Community-Tools.\
Erhalten Sie noch heute Zugriff:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}