hacktricks/pentesting-web/rate-limit-bypass.md

6.5 KiB
Raw Blame History

レート制限回避


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築し、自動化します。
今すぐアクセスを取得:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

類似のエンドポイントの使用

/api/v3/sign-upエンドポイントを攻撃している場合は、/Sing-up/SignUp/singupなどに対してブルートフォース攻撃を試みてください...

また、コードやパラメータに%00、%0d%0a、%0d、%0a、%09、%0C、%20のような空白バイトを追加してみてください。例えば、code=1234%0aのようにするか、メールのコードをリクエストしている場合は、5回の試行のうち、example@email.comに対して5回、example@email.com%0aに対して5回、example@email.com%0a%0aに対して5回、続けて...

ヘッダーを使用してIPの起点を変更する

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1


#or use double X-Forwared-For header
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

もしIPごとに10回の試行制限がある場合、10回ごとにヘッダー内のIPを変更してください。

他のヘッダーを変更する

ユーザーエージェント、クッキーなど、あなたを特定できる可能性のあるものを変更してみてください。

パスに追加のパラメータを追加する

もし制限が/resetpwdというパスにある場合、そのパスをBFして、制限に達したら/resetpwd?someparam=1を試してみてください。

各試行の前にアカウントにログインする

もしかしたら、各試行またはX回のセットごとの前にアカウントにログインすると、制限がリセットされるかもしれません。もしログイン機能を攻撃している場合、Burpを使用してPitchfork攻撃を行い、一定の試行ごとに資格情報を設定し(リダイレクトをフォローするようにマーク)、これを行うことができます。

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥


Trickestを使用して、世界で最も高度なコミュニティツールによって強化されたワークフローを簡単に構築および自動化します。
今すぐアクセスを取得:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}