hacktricks/pentesting-web/rate-limit-bypass.md
2024-02-11 02:13:58 +00:00

4.7 KiB

Kupita Kikomo cha Kasi

Tumia Trickest kujenga na kutumia taratibu za kiotomatiki zinazotumia zana za jamii za kisasa zaidi duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Mbinu za Kupita Kikomo cha Kasi

Kuchunguza Njia Zinazofanana

Jaribio linapaswa kufanywa kufanya mashambulizi ya nguvu kwenye tofauti za njia inayolengwa, kama vile /api/v3/sign-up, pamoja na njia mbadala kama vile /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up nk.

Kuingiza Tabia Tupu katika Kanuni au Vigezo

Kuingiza tabia tupu kama %00, %0d%0a, %0d, %0a, %09, %0C, %20 katika kanuni au vigezo inaweza kuwa mkakati wenye manufaa. Kwa mfano, kurekebisha kigezo kuwa code=1234%0a inaruhusu kujaribu mabadiliko katika pembejeo, kama kuongeza tabia za mstari mpya kwenye anwani ya barua pepe ili kuepuka kikomo cha majaribio.

Kudhibiti Asili ya IP kupitia Vichwa vya Habari

Kurekebisha vichwa vya habari ili kubadilisha asili ya IP inayotambulika inaweza kusaidia kuepuka kikomo cha kasi kinachotegemea IP. Vichwa vya habari kama X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, pamoja na kutumia nakala nyingi za X-Forwarded-For, zinaweza kurekebishwa ili kusimulisha maombi kutoka kwa IP tofauti.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Kubadilisha Vichwa vingine

Inapendekezwa kubadilisha vichwa vingine vya ombi kama vile user-agent na cookies, kwani hivi pia vinaweza kutumika kutambua na kufuatilia mifumo ya ombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtu anayetuma ombi.

Kutumia Tabia ya Lango la API

Baadhi ya malango ya API yamepangwa kuweka kikomo cha kiwango kulingana na muunganiko wa mwisho na vigezo. Kwa kubadilisha thamani za vigezo au kuongeza vigezo visivyo na maana kwenye ombi, inawezekana kuzunguka mantiki ya kikomo cha kiwango cha lango, hivyo kufanya kila ombi kuonekana kuwa tofauti. Kwa mfano /resetpwd?someparam=1.

Kuingia kwenye Akaunti Yako Kabla ya Kila Jaribio

Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, inaweza kusaidia kusawazisha kuhesabu kikomo cha kiwango. Hii ni muhimu hasa wakati wa kujaribu utendaji wa kuingia. Kwa kutumia shambulio la Pitchfork kwenye zana kama Burp Suite, kubadilisha kitambulisho kila baada ya majaribio machache na kuhakikisha kuwa kufuata maelekezo ya upya kunawezeshwa, inaweza kuanzisha upya kikomo cha kiwango.

Kutumia Mtandao wa Proksi

Kuweka mtandao wa proksi ili kusambaza maombi kwenye anwani za IP nyingi kunaweza kuzunguka kikomo cha kiwango kinachotegemea IP. Kwa kuelekeza trafiki kupitia proksi mbalimbali, kila ombi linaonekana kuwa linatoka chanzo tofauti, hivyo kupunguza ufanisi wa kikomo cha kiwango.

Kugawanya Shambulio Kwenye Akaunti au Vikao Tofauti

Ikiwa mfumo wa lengo unatumia kikomo cha kiwango kwa kila akaunti au kikao, kugawa shambulio au jaribio kwenye akaunti au vikao vingi kunaweza kusaidia kuepuka kugundulika. Njia hii inahitaji kusimamia kitambulisho au alama za kikao kadhaa, lakini inaweza kusambaza mzigo kwa kubaki ndani ya mipaka inayoruhusiwa.