hacktricks/pentesting-web/rate-limit-bypass.md

Kupuuza Kikomo cha Kiwango

Tumia Trickest kujenga na kutumia kwa urahisi mifumo ya kazi zinazotumia zana za jamii za juu kabisa duniani.
Pata Ufikiaji Leo:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

• Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
• Pata bidhaa rasmi za PEASS & HackTricks
• Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
• Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
• Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Mbinu za Kupuuza Kikomo cha Kiwango

Kuchunguza Ncha Zinazofanana

Jaribio linapaswa kufanywa kufanya mashambulizi ya nguvu kwenye mabadiliko ya ncha iliyolengwa, kama vile /api/v3/sign-up, ikiwa ni pamoja na mbadala kama /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up n.k.

Kuingiza Tabia Tupu katika Kanuni au Vigezo

Kuingiza baiti tupu kama %00, %0d%0a, %0d, %0a, %09, %0C, %20 katika kanuni au vigezo inaweza kuwa mkakati wenye manufaa. Kwa mfano, kurekebisha kigezo kuwa code=1234%0a inaruhusu kupanua majaribio kupitia mabadiliko katika pembejeo, kama vile kuongeza herufi za mstari mpya kwenye anwani ya barua pepe ili kuepuka vikwazo vya majaribio.

Kubadilisha Asili ya IP kupitia Vichwa

Kurekebisha vichwa ili kubadilisha asili iliyopokelewa ya IP inaweza kusaidia kuepuka kikomo cha kiwango kinachotegemea IP. Vichwa kama X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, ikiwa ni pamoja na kutumia mifano mingi ya X-Forwarded-For, inaweza kurekebishwa kusimuliza maombi kutoka kwenye IP tofauti.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Kubadilisha Vichwa vingine

Kubadilisha vichwa vingine vya ombi kama vile user-agent na vidakuzi ni vyema, kwani vinaweza kutumika pia kutambua na kufuatilia mifumo ya ombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtu anayeomba.

Kutumia Tabia ya Lango la API

Baadhi ya malango ya API yameboreshwa kwa kikomo cha kiwango kulingana na kombinisheni ya mwisho na paramita. Kwa kubadilisha thamani za paramita au kuongeza paramita zisizo na maana kwenye ombi, inawezekana kuzunguka mantiki ya kikomo cha kiwango cha lango, hivyo kufanya kila ombi lionekane kuwa tofauti. Kwa mfano /resetpwd?someparam=1.

Kuingia kwenye Akaunti Yako Kabla ya Kila Jaribio

Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, kunaweza kusaidia kusawazisha kikomo cha kiwango. Hii ni muhimu hasa wakati wa kujaribu utendaji wa kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha siri mara kwa mara baada ya majaribio kadhaa na kuhakikisha kuwa kufuata mafunjo kunawezeshwa, kunaweza kuanzisha upya kikomo cha kiwango kwa ufanisi.

Kutumia Mtandao wa Proksi

Kutekeleza mtandao wa proksi kusambaza maombi kwenye anwani za IP nyingi kunaweza kuzunguka vizuizi vya kiwango cha IP. Kwa kuelekeza trafiki kupitia proksi mbalimbali, kila ombi linaonekana kutoka chanzo tofauti, hivyo kupunguza ufanisi wa kikomo cha kiwango.

Kugawanya Shambulio Kati ya Akaunti au Vikao Tofauti

Ikiwa mfumo wa lengo unatumia vikomo vya kiwango kwa kila akaunti au kikao, kugawa shambulio au jaribio kati ya akaunti au vikao vingi kunaweza kusaidia kuepuka kugunduliwa. Hatua hii inahitaji usimamizi wa vitambulisho vingi au vielelezo vya kikao, lakini inaweza kugawa mzigo kwa ufanisi ili kubaki ndani ya vikomo vinavyoruhusiwa.