5.5 KiB
绕过速率限制
使用Trickest可以轻松构建和自动化由全球最先进的社区工具提供支持的工作流程。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组,或在Twitter上关注我🐦@carlospolopm。
- 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享你的黑客技巧。
使用类似的端点
如果你正在攻击/api/v3/sign-up端点,尝试对/Sing-up,/SignUp,/singup等进行暴力破解...
还可以尝试在原始端点后添加字节,如%00, %0d%0a, %0d, %0a, %09, %0C, %20
代码/参数中的空白字符
尝试在代码和/或参数中添加一些空白字节,如%00, %0d%0a, %0d, %0a, %09, %0C, %20。例如code=1234%0a,或者如果你正在请求一个电子邮件的代码,而你只有5次尝试机会,可以使用这5次尝试机会分别对应example@email.com,example@email.com%0a,example@email.com%0a%0a,然后继续...
使用头部更改IP来源
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1
#or use double X-Forwared-For header
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
如果他们限制每个IP尝试10次,那么在每10次尝试后更改头部中的IP。
更改其他头部信息
尝试更改用户代理、cookie等任何可能用于识别您的信息。
在路径中添加额外参数
如果限制在路径/resetpwd上,尝试BF该路径,一旦达到速率限制,请尝试/resetpwd?someparam=1。
在每次尝试之前登录您的账户
也许如果您在每次尝试之前(或每组X次尝试)登录您的账户,速率限制会重新开始。如果您正在攻击登录功能,您可以在burp中使用Pitchfork攻击,在每X次尝试中设置您的凭据(并标记跟随重定向)。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 您在网络安全公司工作吗?您想在HackTricks中宣传您的公司吗?或者您想获得PEASS的最新版本或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFT收藏品——The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组,或在Twitter上关注我🐦@carlospolopm。
- 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享您的黑客技巧。
使用Trickest可以轻松构建和自动化工作流程,使用全球最先进的社区工具驱动。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}