hacktricks/pentesting-web/rate-limit-bypass.md

Kupuuza Kikomo cha Kiwango

Tumia Trickest kujenga na kutumia workflows kwa urahisi zinazotumia zana za jamii ya juu zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

• Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
• Pata swag rasmi wa PEASS & HackTricks
• Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
• Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
• Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Mbinu za Kupuuza Kikomo cha Kiwango

Kuchunguza Njia Zinazofanana

Jaribio linapaswa kufanywa kufanya mashambulizi ya nguvu kwenye mabadiliko ya njia inayolengwa, kama vile /api/v3/sign-up, pamoja na mbadala kama /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up n.k.

Kuingiza Herufi Tupu kwenye Kanuni au Vigezo

Kuingiza herufi tupu kama %00, %0d%0a, %0d, %0a, %09, %0C, %20 kwenye kanuni au vigezo inaweza kuwa mkakati wenye manufaa. Kwa mfano, kurekebisha kigezo kuwa code=1234%0a inaruhusu kupanua majaribio kupitia mabadiliko katika pembejeo, kama vile kuongeza herufi za mstari mpya kwenye anwani ya barua pepe ili kuepuka vikwazo vya majaribio.

Kubadilisha Asili ya IP kupitia Vichwa vya Habari

Kurekebisha vichwa vya habari ili kubadilisha asili iliyopokelewa ya IP inaweza kusaidia kuepuka kikomo cha kiwango kinachotegemea IP. Vichwa vya habari kama X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, pamoja na kutumia mifano mingi ya X-Forwarded-For, vinaweza kurekebishwa ili kusimuliza maombi kutoka kwenye IP tofauti.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Kubadilisha Vichwa vya Habari Vingine

Kubadilisha vichwa vya habari vingine kama vile user-agent na vidakuzi ni muhimu, kwani vinaweza kutumika pia kutambua na kufuatilia mifumo ya maombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtu anayetoa maombi.

Kutumia Tabia ya Lango la API

Baadhi ya malango ya API yameboreshwa kwa kikomo cha kiwango kulingana na kombinisheni ya mwisho na paramita. Kwa kubadilisha thamani za paramita au kuongeza paramita zisizo na maana kwa ombi, inawezekana kuzunguka mantiki ya kikomo cha kiwango cha lango, hivyo kufanya kila ombi lionekane kuwa tofauti. Kwa mfano /resetpwd?someparam=1.

Kuingia kwenye Akaunti Yako Kabla ya Kila Jaribio

Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, inaweza kusaidia kusawazisha kikomo cha kiwango. Hii ni muhimu hasa wakati wa kujaribu utendaji wa kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha siri za kila baada ya majaribio machache na kuhakikisha kuwa kufuata mafunjo kunawekwa, kunaweza kuanzisha upya kikomo cha kiwango kwa ufanisi.

Kutumia Mtandao wa Proksi

Kuweka mtandao wa proksi kusambaza maombi kote kwenye anwani za IP nyingi kunaweza kuzunguka vizuizi vya kiwango cha IP. Kwa kuelekeza trafiki kupitia proksi mbalimbali, kila ombi linaonekana kutokea kwenye chanzo tofauti, hivyo kupunguza ufanisi wa kikomo cha kiwango.

Kugawanya Shambulio Kati ya Akaunti au Vikao Tofauti

Ikiwa mfumo wa lengo unatumia vikomo vya kiwango kwa kila akaunti au kikao, kugawa shambulio au jaribio kote kwenye akaunti au vikao vingi kunaweza kusaidia kuepuka kugunduliwa. Hatua hii inahitaji kusimamia vitambulisho vingi au vielelezo vya kikao, lakini inaweza kugawa mzigo kwa ufanisi ili kubaki ndani ya mipaka inayoruhusiwa.