5.1 KiB
Contournement de la limite de taux
Utilisez Trickest pour construire et automatiser des workflows grâce aux outils communautaires les plus avancés.
Obtenez l'accès aujourd'hui :
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres moyens de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le merchandising officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de hacking en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.
Utilisation d'endpoints similaires
Si vous attaquez l'endpoint /api/v3/sign-up
, essayez de réaliser un bruteforce sur /Sing-up
, /SignUp
, /singup
...
Essayez également d'ajouter à l'endpoint original des octets comme %00, %0d%0a, %0d, %0a, %09, %0C, %20
Caractères blancs dans le code/paramètres
Essayez d'ajouter un octet blanc comme %00, %0d%0a, %0d, %0a, %09, %0C, %20
au code et/ou aux paramètres. Par exemple code=1234%0a
ou si vous demandez un code pour un email et que vous n'avez que 5 tentatives, utilisez les 5 tentatives pour example@email.com
, puis pour example@email.com%0a
, puis pour example@email.com%0a%0a
, et continuez...
Changement de l'IP d'origine en utilisant des en-têtes
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1
#or use double X-Forwared-For header
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
S'ils limitent à 10 tentatives par IP, changez l'IP dans l'en-tête toutes les 10 tentatives.
Changer d'autres en-têtes
Essayez de changer l'agent utilisateur, les cookies... tout ce qui pourrait vous identifier.
Ajouter des paramètres supplémentaires au chemin
Si la limite est dans le chemin /resetpwd
, essayez de forcer brutalement ce chemin, et une fois la limite de taux atteinte, essayez /resetpwd?someparam=1
Se connecter à votre compte avant chaque tentative
Peut-être que si vous vous connectez à votre compte avant chaque tentative (ou chaque ensemble de X tentatives), la limite de taux est réinitialisée. Si vous attaquez une fonctionnalité de connexion, vous pouvez faire cela dans burp en utilisant une attaque Pitchfork en définissant vos identifiants tous les X tentatives (et en marquant suivre les redirections).
Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres moyens de soutenir HackTricks :
- Si vous voulez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le merchandising officiel PEASS & HackTricks
- Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦 @carlospolopm.
- Partagez vos astuces de hacking en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.
Utilisez Trickest pour construire et automatiser des workflows facilement, alimentés par les outils communautaires les plus avancés.
Obtenez l'accès aujourd'hui :
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}