hacktricks/pentesting-web/rate-limit-bypass.md

Обхід обмеження швидкості

Використовуйте Trickest для легкої побудови та автоматизації робочих процесів, які працюють на основі найбільш продвинутих інструментів у спільноті.
Отримайте доступ сьогодні:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

• Якщо ви хочете побачити свою компанію в рекламі на HackTricks або завантажити HackTricks у PDF-форматі, перевірте ПЛАНИ ПІДПИСКИ!
• Отримайте офіційний PEASS & HackTricks мерч
• Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
• Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
• Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Техніки обходу обмеження швидкості

Дослідження схожих кінцевих точок

Слід спробувати виконати атаки методом брут-форс на варіації цільової кінцевої точки, такі як /api/v3/sign-up, включаючи альтернативи, такі як /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up тощо.

Включення пустих символів у код або параметри

Вставлення пустих байтів, таких як %00, %0d%0a, %0d, %0a, %09, %0C, %20 у код або параметри може бути корисною стратегією. Наприклад, налаштування параметра на code=1234%0a дозволяє розширити спроби через варіації введення, наприклад, додавання символів нового рядка до адреси електронної пошти для обходу обмежень спроб.

Маніпулювання походженням IP через заголовки

Зміна заголовків для зміни сприйнятого походження IP може допомогти уникнути обмеження швидкості на основі IP. Заголовки, такі як X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, включаючи використання кількох екземплярів X-Forwarded-For, можуть бути налаштовані для імітації запитів з різних IP-адрес.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Зміна інших заголовків

Рекомендується змінювати інші заголовки запитів, такі як user-agent та cookies, оскільки їх також можна використовувати для ідентифікації та відстеження шаблонів запитів. Зміна цих заголовків може запобігти визначенню та відстеженню дій запитувача.

Використання Поведінки Шлюзу API

Деякі шлюзи API налаштовані на застосування обмеження швидкості на основі комбінації кінцевої точки та параметрів. Змінюючи значення параметрів або додавання незначущих параметрів до запиту, можна обійти логіку обмеження швидкості шлюзу, зробивши кожен запит унікальним. Наприклад /resetpwd?someparam=1.

Вхід в Ваш обліковий запис Перед Кожною Спробою

Вхід в обліковий запис перед кожною спробою або кожним набором спроб може скинути лічильник обмеження швидкості. Це особливо корисно при тестуванні функцій входу. Використання атаки Pitchfork у таких інструментах, як Burp Suite, для зміни облікових даних кожні кілька спроб та впевнення, що перенаправлення позначені, може ефективно перезапустити лічильники обмеження швидкості.

Використання Проксі-мереж

Розгортання мережі проксі для розподілу запитів по кількох IP-адресах може ефективно обійти обмеження швидкості на основі IP-адрес. Маршрутизуючи трафік через різні проксі, кожен запит здається походити з різного джерела, розведення ефективності обмеження швидкості.

Розподіл Атаки Між Різними Обліковими Записами або Сесіями

Якщо цільова система застосовує обмеження швидкості на основі облікового запису або сесії, розподіл атаки або тестування по різних облікових записах або сесіях може допомогти у уникненні виявлення. Цей підхід вимагає управління кількома ідентичностями або токенами сесій, але може ефективно розподілити навантаження для відповідності допустимим обмеженням.