hacktricks/pentesting-web/rate-limit-bypass.md

4.8 KiB

Rate Limit Bypass


Tumia Trickest kujenga na kujiendesha kazi kwa urahisi zenye nguvu za zana za jamii za kisasa zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}

{% hint style="success" %} Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Mbinu za kupita kiwango cha mipaka

Kuchunguza Mipangilio Inayofanana

Jaribio linapaswa kufanywa kufanya mashambulizi ya nguvu ya kikatili kwenye tofauti za mipangilio inayolengwa, kama vile /api/v3/sign-up, ikiwa ni pamoja na mbadala kama /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up nk.

Kuingiza Mifumo ya Ujumbe Katika Kanuni au Vigezo

Kuingiza bytes za wazi kama %00, %0d%0a, %0d, %0a, %09, %0C, %20 katika kanuni au vigezo inaweza kuwa mkakati mzuri. Kwa mfano, kubadilisha kigezo kuwa code=1234%0a kunaruhusu kupanua majaribio kupitia tofauti katika ingizo, kama kuongeza wahusika wapya kwenye anwani ya barua pepe ili kuzunguka mipaka ya majaribio.

Kudhibiti Asili ya IP Kupitia Vichwa

Kubadilisha vichwa ili kubadilisha asili ya IP inayodhaniwa kunaweza kusaidia kuepuka mipango ya kiwango cha IP. Vichwa kama X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, ikiwa ni pamoja na kutumia matukio mengi ya X-Forwarded-For, yanaweza kubadilishwa ili kuiga maombi kutoka kwa IP tofauti.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Kubadilisha Vichwa Vingine

Kubadilisha vichwa vingine vya ombi kama vile user-agent na cookies kunashauriwa, kwani hivi pia vinaweza kutumika kutambua na kufuatilia mifumo ya maombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtumiaji.

Kutumia Tabia ya API Gateway

Baadhi ya API gateways zimewekwa ili kutekeleza ukomo wa kiwango kulingana na mchanganyiko wa mwisho wa huduma na vigezo. Kwa kubadilisha thamani za vigezo au kuongeza vigezo visivyo na maana kwenye ombi, inawezekana kupita mantiki ya ukomo wa kiwango ya gateway, na kufanya kila ombi kuonekana kuwa la kipekee. Kwa mfano /resetpwd?someparam=1.

Kuingia Kwenye Akaunti Yako Kabla ya Kila Jaribio

Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, kunaweza kurekebisha hesabu ya ukomo wa kiwango. Hii ni muhimu hasa wakati wa kujaribu kazi za kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha akidi kila baada ya majaribio kadhaa na kuhakikisha kwamba uelekeo wa kurudi umewekwa, kunaweza kuanzisha tena hesabu za ukomo wa kiwango kwa ufanisi.

Kutumia Mitandao ya Proxy

Kuweka mtandao wa proxies ili kusambaza maombi kwenye anwani nyingi za IP kunaweza kupita kwa ufanisi mipaka ya kiwango inayotegemea IP. Kwa kuelekeza trafiki kupitia proxies mbalimbali, kila ombi linaonekana kutokea kutoka chanzo tofauti, na kupunguza ufanisi wa ukomo wa kiwango.

Kugawanya Shambulio Kati ya Akaunti au Sesheni Tofauti

Ikiwa mfumo wa lengo unatekeleza mipaka ya kiwango kwa msingi wa akaunti au sesheni, kusambaza shambulio au jaribio kati ya akaunti au sesheni nyingi kunaweza kusaidia katika kuepuka kugundulika. Njia hii inahitaji kusimamia vitambulisho vingi au token za sesheni, lakini inaweza kusambaza mzigo kwa ufanisi ili kubaki ndani ya mipaka inayoruhusiwa.