Hız Sınırlaması Atlama

Trickest kullanarak dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturun ve otomatikleştirin.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahramana kadar AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklam vermek isterseniz veya HackTricks'i PDF olarak indirmek isterseniz ABONELİK PLANLARINA göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
The PEASS Family koleksiyonumuzu keşfedin, özel NFT'ler
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'u takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.

Hız sınırlaması atlama teknikleri

Benzer Uç Noktaları Keşfetme

Hedeflenen uç noktanın farklı varyasyonlarına, örneğin /api/v3/sign-up gibi, /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up gibi alternatiflere brute force saldırıları yapılmalıdır.

Kod veya Parametrelerde Boş Karakterler Kullanma

Kod veya parametrelere %00, %0d%0a, %0d, %0a, %09, %0C, %20 gibi boş baytlar eklemek faydalı bir strateji olabilir. Örneğin, bir parametreyi code=1234%0a olarak ayarlamak, girişteki çeşitlilikleri genişletmek için yeni satır karakterlerini bir e-posta adresine eklemek gibi deneme sınırlamalarını aşmak için kullanılabilir.

Başlıklar Aracılığıyla IP Kökenini Manipüle Etme

Algılanan IP kökenini değiştirmek için başlıkları değiştirmek, IP tabanlı hız sınırlamasından kaçınmaya yardımcı olabilir. X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host gibi başlıklar, farklı IP'lerden gelen istekleri taklit etmek için ayarlanabilir.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Diğer Başlıkları Değiştirmek

Kullanıcı ajanı ve çerezler gibi diğer istek başlıklarını değiştirmek önerilir, çünkü bunlar istek desenlerini tanımlamak ve takip etmek için kullanılabilir. Bu başlıkları değiştirmek, istek yapanın faaliyetlerinin tanınmasını ve takip edilmesini engelleyebilir.

API Gateway Davranışını Kullanmak

Bazı API gateway'leri, endpoint ve parametre kombinasyonuna dayalı olarak hız sınırlaması uygular. Parametre değerlerini değiştirerek veya isteğe anlamsız parametreler ekleyerek, gateway'in hız sınırlama mantığını atlayabilir ve her isteğin benzersiz görünmesini sağlayabilirsiniz. Örneğin /resetpwd?someparam=1.

Her Denemeden Önce Hesabınıza Giriş Yapmak

Her denemeden önce veya her bir deneme setinden sonra hesaba giriş yapmak, hız sınırlama sayacını sıfırlayabilir. Bu özellikle giriş işlevlerini test ettiğinizde kullanışlıdır. Burp Suite gibi araçlarda Pitchfork saldırısı kullanarak her birkaç denemede bir kimlik bilgilerini değiştirerek ve yönlendirmelerin takip edildiğinden emin olunarak hız sınırlama sayacını etkili bir şekilde sıfırlayabilirsiniz.

Proxy Ağlarını Kullanmak

Çeşitli IP adresleri üzerinden istekleri dağıtmak için bir proxy ağı dağıtmak, IP tabanlı hız sınırlarını etkili bir şekilde atlayabilir. Trafiği çeşitli proxy'ler üzerinden yönlendirerek, her istek farklı bir kaynaktan geliyormuş gibi görünür ve hız sınırlamasının etkinliğini azaltır.

Saldırıyı Farklı Hesaplar veya Oturumlar Arasında Bölme

Hedef sistem hesap veya oturum başına hız sınırlaması uyguluyorsa, saldırıyı veya testi farklı hesaplar veya oturumlar arasında dağıtmak, tespitten kaçınmaya yardımcı olabilir. Bu yaklaşım, birden fazla kimlik veya oturum belirteci yönetmeyi gerektirir, ancak izin verilen sınırlar içinde kalmak için yükü etkili bir şekilde dağıtabilir.

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'yi keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'u takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

Dünyanın en gelişmiş topluluk araçları tarafından desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest'i kullanın. Bugün Erişim Alın: