mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-26 22:52:06 +00:00
69 lines
4.8 KiB
Markdown
69 lines
4.8 KiB
Markdown
# Kupuuza Kikomo cha Kiwango
|
|
|
|
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
|
|
|
|
\
|
|
Tumia [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=rate-limit-bypass) kujenga na **kutumia mifumo ya kiotomatiki** inayotumia zana za jamii **zilizoendelea zaidi** duniani.\
|
|
Pata Ufikiaji Leo:
|
|
|
|
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=rate-limit-bypass" %}
|
|
|
|
<details>
|
|
|
|
<summary><strong>Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)</strong></a><strong>!</strong></summary>
|
|
|
|
Njia nyingine za kusaidia HackTricks:
|
|
|
|
* Ikiwa unataka kuona **kampuni yako ikitangazwa kwenye HackTricks** au **kupakua HackTricks kwa PDF** Angalia [**MIPANGO YA USAJILI**](https://github.com/sponsors/carlospolop)!
|
|
* Pata [**bidhaa rasmi za PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* Gundua [**Familia ya PEASS**](https://opensea.io/collection/the-peass-family), mkusanyiko wetu wa [**NFTs**](https://opensea.io/collection/the-peass-family) ya kipekee
|
|
* **Jiunge na** 💬 [**Kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au kikundi cha [**telegram**](https://t.me/peass) au **tufuate** kwenye **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos za github.
|
|
|
|
</details>
|
|
|
|
## Mbinu za Kupuuza Kikomo cha Kiwango
|
|
|
|
### Kuchunguza Ncha Zinazofanana
|
|
|
|
Jaribio linapaswa kufanywa kutekeleza mashambulizi ya nguvu kwenye mabadiliko ya ncha inayolengwa, kama vile `/api/v3/sign-up`, ikiwa ni pamoja na mbadala kama `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up` n.k.
|
|
|
|
### Kuingiza Tabia Tupu katika Kanuni au Vigezo
|
|
|
|
Kuingiza baiti tupu kama `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` katika kanuni au vigezo inaweza kuwa mkakati wenye manufaa. Kwa mfano, kurekebisha kigezo kuwa `code=1234%0a` inaruhusu kupanua majaribio kupitia mabadiliko katika pembejeo, kama vile kuongeza herufi za mstari mpya kwenye anwani ya barua pepe ili kuepuka vikwazo vya majaribio.
|
|
|
|
### Kubadilisha Asili ya IP kupitia Vichwa
|
|
|
|
Kurekebisha vichwa ili kubadilisha asili iliyopokelewa ya IP inaweza kusaidia kuepuka kikomo cha kiwango kinachotegemea IP. Vichwa kama `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, ikiwa ni pamoja na kutumia mifano mingi ya `X-Forwarded-For`, inaweza kurekebishwa ili kusimuliza maombi kutoka kwenye IP tofauti.
|
|
```bash
|
|
X-Originating-IP: 127.0.0.1
|
|
X-Forwarded-For: 127.0.0.1
|
|
X-Remote-IP: 127.0.0.1
|
|
X-Remote-Addr: 127.0.0.1
|
|
X-Client-IP: 127.0.0.1
|
|
X-Host: 127.0.0.1
|
|
X-Forwared-Host: 127.0.0.1
|
|
|
|
# Double X-Forwarded-For header example
|
|
X-Forwarded-For:
|
|
X-Forwarded-For: 127.0.0.1
|
|
```
|
|
### Kubadilisha Vichwa vya Habari Vingine
|
|
|
|
Kubadilisha vichwa vya maombi vingine kama vile user-agent na vidakuzi ni vyema, kwani hivi pia vinaweza kutumika kutambua na kufuatilia mifumo ya maombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtu anayetoa maombi.
|
|
|
|
### Kutumia Tabia ya Lango la API
|
|
|
|
Baadhi ya malango ya API yameboreshwa ili kutekeleza kikomo cha kiwango kulingana na kombinisheni ya mwisho na vigezo. Kwa kubadilisha thamani za vigezo au kuongeza vigezo visivyo na maana kwenye ombi, inawezekana kuzunguka mantiki ya kikomo cha kiwango cha lango, hivyo kufanya kila ombi lionekane kuwa tofauti. Kwa mfano `/resetpwd?someparam=1`.
|
|
|
|
### Kuingia kwenye Akaunti Yako Kabla ya Kila Jaribio
|
|
|
|
Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, kunaweza kusaidia kusawazisha upimaji wa kikomo cha kiwango. Hii ni muhimu hasa wakati wa kujaribu utendaji wa kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha siri za kila baada ya majaribio machache na kuhakikisha kuwa kufuata upya kunawekwa, kunaweza kuanzisha upya kikomo cha kiwango kwa ufanisi.
|
|
|
|
### Kutumia Mtandao wa Proksi
|
|
|
|
Kutekeleza mtandao wa proksi kusambaza maombi kwenye anwani za IP nyingi kunaweza kuzunguka vizuizi vya kiwango cha IP. Kwa kuelekeza trafiki kupitia proksi mbalimbali, kila ombi linaonekana kutokea kwenye chanzo tofauti, hivyo kupunguza ufanisi wa kikomo cha kiwango.
|
|
|
|
### Kugawanya Shambulio Kati ya Akaunti au Vikao Tofauti
|
|
|
|
Ikiwa mfumo wa lengo unatumia vikomo vya kiwango kwa kila akaunti au kikao, kugawa shambulio au majaribio kwenye akaunti au vikao vingi kunaweza kusaidia kuepuka kugunduliwa. Hatua hii inahitaji usimamizi wa vitambulisho vingi au vibali vya vikao, lakini inaweza kusambaza mzigo kwa ufanisi ili kubaki ndani ya mipaka inayoruhusiwa.
|