Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/rate-limit-bypass.md
Translator workflow 9f40607d8c Translated to Afrikaans
2024-02-11 02:07:06 +00:00

84 lines
6.5 KiB
Markdown
Raw Blame History

# Tariefbeperking deurloop
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik en outomaties werkstrome te bou met behulp van die wêreld se mees gevorderde gemeenskapsinstrumente.\
Kry vandag toegang:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
<details>
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ander maniere om HackTricks te ondersteun:
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
</details>
## Tariefbeperking deurloop tegnieke
### Verkenning van soortgelyke eindpunte
Pogings moet aangewend word om brute force-aanvalle uit te voer op variasies van die geteikende eindpunt, soos `/api/v3/sign-up`, insluitend alternatiewe soos `/Sing-up`, `/SignUp`, `/singup`, `/api/v1/sign-up`, `/api/sign-up`, ens.
### Insluiting van leë karakters in kode of parameters
Die invoeging van leë bytes soos `%00`, `%0d%0a`, `%0d`, `%0a`, `%09`, `%0C`, `%20` in kode of parameters kan 'n nuttige strategie wees. Byvoorbeeld, deur 'n parameter aan te pas na `code=1234%0a`, kan pogings uitgebrei word deur variasies in insette, soos die byvoeging van nuwe lynkarakters by 'n e-posadres, om pogingsbeperkings te omseil.
### Manipulasie van IP-oorsprong via koptekens
Die wysiging van koptekens om die waargenome IP-oorsprong te verander, kan help om IP-gebaseerde tariefbeperking te omseil. Koptekens soos `X-Originating-IP`, `X-Forwarded-For`, `X-Remote-IP`, `X-Remote-Addr`, `X-Client-IP`, `X-Host`, `X-Forwared-Host`, insluitend die gebruik van meerdere instansies van `X-Forwarded-For`, kan aangepas word om versoek vanaf verskillende IP-adresse te simuleer.
```bash
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1
# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1
```
### Verander Ander Koppe
Dit word aanbeveel om ander versoekkoppe soos die gebruikersagent en koekies te verander, aangesien dit ook gebruik kan word om versoekpatrone te identifiseer en te volg. Deur hierdie koppe te verander, kan erkenning en opsporing van die versoeke se aktiwiteite voorkom word.
### Benutting van API Gateway-gedrag
Sommige API-poorte word gekonfigureer om snelheidsbeperking toe te pas op grond van die kombinasie van die eindpunt en parameters. Deur die parameterwaardes te varieer of nie-betekenisvolle parameters by die versoek te voeg, is dit moontlik om die snelheidsbeperkingslogika van die poort te omseil, sodat elke versoek uniek lyk.
Byvoorbeeld `/resetpwd?someparam=1`.
### Aanteken in jou rekening voor elke poging
Deur in te teken op 'n rekening voor elke poging, of elke stel pogings, kan die snelheidsbeperkingsmeter gereset word. Dit is veral nuttig wanneer daar toetsing van aanmeldingsfunksies plaasvind. Deur 'n Pitchfork-aanval in hulpmiddels soos Burp Suite te gebruik om geloofsbriewe elke paar pogings te roteer en te verseker dat omleidings gemerk word, kan die snelheidsbeperkingsmeters doeltreffend herlaai word.
### Benutting van Proxy-netwerke
Die implementering van 'n netwerk van proksi's om die versoeke oor verskeie IP-adresse te versprei, kan IP-gebaseerde snelheidsbeperkings effektief omseil. Deur verkeer deur verskillende proksi's te roeteer, lyk elke versoek asof dit van 'n ander bron afkomstig is, wat die doeltreffendheid van die snelheidsbeperking verdun.
### Die Aanval Versprei oor Verskillende Rekeninge of Sessies
As die teikensisteem snelheidsbeperkings op 'n per-rekening of per-sessie basis toepas, kan die aanval of toetsing oor verskeie rekeninge of sessies versprei word om opsporing te voorkom. Hierdie benadering vereis die bestuur van verskeie identiteite of sessietokens, maar kan die las doeltreffend versprei om binne toelaatbare limiete te bly.
<details>
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ander maniere om HackTricks te ondersteun:
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks-uitrusting**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
</details>
<figure><img src="../.gitbook/assets/image (3) (1) (1) (1) (1).png" alt=""><figcaption></figcaption></figure>
\
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik werkstrome te bou en outomatiseer met behulp van die wêreld se mees gevorderde gemeenskapsinstrumente.\
Kry vandag toegang:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Reference in a new issue View git blame Copy permalink