Rate Limit Bypass

Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden.
Zugang heute erhalten:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}

{% hint style="success" %} Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

{% endhint %}

Techniken zum Umgehen von Ratenbegrenzungen

Erforschen ähnlicher Endpunkte

Es sollten Versuche unternommen werden, Brute-Force-Angriffe auf Variationen des angezielten Endpunkts durchzuführen, wie z.B. /api/v3/sign-up, einschließlich Alternativen wie /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up usw.

Einfügen von Leerzeichen in Code oder Parameter

Das Einfügen von Leerbytes wie %00, %0d%0a, %0d, %0a, %09, %0C, %20 in Code oder Parameter kann eine nützliche Strategie sein. Zum Beispiel ermöglicht die Anpassung eines Parameters auf code=1234%0a das Erweitern von Versuchen durch Variationen in der Eingabe, wie das Hinzufügen von Zeilenumbrüchen zu einer E-Mail-Adresse, um Versuchsbeschränkungen zu umgehen.

Manipulation des IP-Ursprungs über Header

Das Ändern von Headern, um den wahrgenommenen IP-Ursprung zu ändern, kann helfen, IP-basierte Ratenbegrenzungen zu umgehen. Header wie X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, einschließlich der Verwendung mehrerer Instanzen von X-Forwarded-For, können angepasst werden, um Anfragen von verschiedenen IPs zu simulieren.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Ändern anderer Header

Es wird empfohlen, andere Anfrage-Header wie den User-Agent und Cookies zu ändern, da diese ebenfalls zur Identifizierung und Verfolgung von Anfrage-Mustern verwendet werden können. Das Ändern dieser Header kann die Erkennung und Verfolgung der Aktivitäten des Anfragenden verhindern.

Ausnutzen des Verhaltens von API-Gateways

Einige API-Gateways sind so konfiguriert, dass sie die Ratenbegrenzung basierend auf der Kombination von Endpunkt und Parametern anwenden. Durch Variieren der Parameterwerte oder Hinzufügen von nicht signifikanten Parametern zur Anfrage ist es möglich, die Ratenbegrenzungslogik des Gateways zu umgehen, sodass jede Anfrage einzigartig erscheint. Zum Beispiel /resetpwd?someparam=1.

Anmeldung in Ihrem Konto vor jedem Versuch

Die Anmeldung in einem Konto vor jedem Versuch oder jeder Versuchsreihe könnte den Zähler für die Ratenbegrenzung zurücksetzen. Dies ist besonders nützlich, wenn Login-Funktionalitäten getestet werden. Die Nutzung eines Pitchfork-Angriffs in Tools wie Burp Suite, um die Anmeldeinformationen alle paar Versuche zu rotieren und sicherzustellen, dass Weiterleitungen markiert sind, kann die Zähler für die Ratenbegrenzung effektiv zurücksetzen.

Nutzung von Proxy-Netzwerken

Der Einsatz eines Netzwerks von Proxys, um die Anfragen über mehrere IP-Adressen zu verteilen, kann IP-basierte Ratenbegrenzungen effektiv umgehen. Durch das Routen des Traffics über verschiedene Proxys erscheint jede Anfrage, als stamme sie aus einer anderen Quelle, wodurch die Effektivität der Ratenbegrenzung verringert wird.

Aufteilen des Angriffs über verschiedene Konten oder Sitzungen

Wenn das Zielsystem Ratenbegrenzungen auf Basis von Konto oder Sitzung anwendet, kann das Verteilen des Angriffs oder Tests über mehrere Konten oder Sitzungen helfen, eine Erkennung zu vermeiden. Dieser Ansatz erfordert die Verwaltung mehrerer Identitäten oder Sitzungstoken, kann jedoch effektiv die Last verteilen, um innerhalb der zulässigen Grenzen zu bleiben.