hacktricks/pentesting-web/rate-limit-bypass.md

Hız Sınırını Aşma

Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla desteklenen otomatik iş akışları oluşturun ve otomatikleştirin.
Bugün Erişim Alın:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Sıfırdan kahramana kadar AWS hackleme öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'ı desteklemenin diğer yolları:

• Şirketinizi HackTricks'te reklamını görmek istiyorsanız veya HackTricks'i PDF olarak indirmek istiyorsanız ABONELİK PLANLARINI kontrol edin!
• Resmi PEASS & HackTricks ürünlerini edinin
• The PEASS Family'yi keşfedin, özel NFT'lerimiz koleksiyonumuz
• 💬 Discord grubuna veya telegram grubuna katılın veya bizi Twitter 🐦 @carlospolopm takip edin.**
• Hacking püf noktalarınızı göndererek HackTricks ve HackTricks Cloud github depolarına PR'lar gönderin.

Hız sınırı aşma teknikleri

Benzer Uç Noktaları Keşfetme

Hedeflenen uç noktanın çeşitli varyasyonları üzerinde kaba kuvvet saldırıları gerçekleştirmek için denemeler yapılmalıdır, örneğin /api/v3/sign-up gibi hedeflenen uç noktanın alternatifleri olan /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up vb.

Kod veya Parametrelerde Boş Karakterler Kullanma

Koda veya parametrelere %00, %0d%0a, %0d, %0a, %09, %0C, %20 gibi boş baytlar eklemek faydalı bir strateji olabilir. Örneğin, bir parametreyi code=1234%0a olarak ayarlamak, e-posta adresine yeni satır karakterleri ekleyerek deneme sınırlamalarını aşmak gibi giriş varyasyonlarına olanak tanır.

Başlıklar Aracılığıyla IP Kökenini Manipüle Etme

Algılanan IP kökenini değiştirmek için başlıkları değiştirmek, IP tabanlı hız sınırlamalarından kaçınmaya yardımcı olabilir. X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host gibi başlıklar, farklı IP'lerden gelen istekleri simüle etmek için ayarlanabilir, birden fazla X-Forwarded-For örneğini kullanmak da mümkündür.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Diğer Başlıkları Değiştirmek

Kullanıcı ajanı ve çerezler gibi diğer istek başlıklarını değiştirmek önerilir, çünkü bu istek desenlerini tanımlamak ve takip etmek için kullanılabilir. Bu başlıkları değiştirmek, isteği yapanın faaliyetlerinin tanınmasını ve takip edilmesini engelleyebilir.

API Gateway Davranışını Kullanmak

Bazı API gateway'leri, endpoint ve parametrelerin kombinasyonuna dayalı olarak hız sınırlaması uygulamak üzere yapılandırılmıştır. Parametre değerlerini değiştirerek veya isteğe anlamsız parametreler ekleyerek, gateway'in hız sınırlama mantığını atlayarak her isteğin benzersiz görünmesini sağlamak mümkündür. Örneğin /resetpwd?someparam=1.

Her Denemeden Önce Hesabınıza Giriş Yapmak

Her denemeden önce veya her deneme setinden sonra hesaba giriş yapmak, hız sınırlama sayacını sıfırlayabilir. Bu özellikle giriş işlevlerini test ederken faydalıdır. Burp Suite gibi araçlarda Pitchfork saldırısını kullanarak, her birkaç denemede bir kimlik bilgilerini değiştirerek ve yönlendirmeleri takip etme işaretlenerek, hız sınırlama sayacını etkili bir şekilde sıfırlayabilirsiniz.

Proxy Ağlarını Kullanmak

Çeşitli IP adreslerine istekleri dağıtmak için bir ağdaki proxy'leri dağıtmak, IP tabanlı hız sınırlarını etkili bir şekilde atlayabilir. Trafikleri çeşitli proxy'ler aracılığıyla yönlendirerek, her istek farklı bir kaynaktan geldiği gibi görünür, hız sınırlamanın etkinliğini azaltır.

Saldırıyı Farklı Hesaplar veya Oturumlar Arasında Bölmek

Hedef sistem hesap veya oturum başına hız sınırları uygularsa, saldırıyı veya testi birden fazla hesap veya oturum arasında dağıtmak, tespit edilmeyi önlemeye yardımcı olabilir. Bu yaklaşım, birden fazla kimlik veya oturum belirteci yönetmeyi gerektirir, ancak izin verilen sınırlar içinde kalmak için yükü dağıtmak için etkili olabilir.