Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/rate-limit-bypass.md

5.6 KiB
Raw Blame History

レートリミットバイパス


Trickestを使用して、世界で最も進んだコミュニティツールを駆使したワークフローを簡単に構築し自動化します。
今すぐアクセス:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

htARTE (HackTricks AWS Red Team Expert)で AWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法

類似のエンドポイントを使用する

/api/v3/sign-upエンドポイントを攻撃している場合、/Sing-up/SignUp/singup...などのブルートフォースを試みてください。

また、元のエンドポイントに次のようなバイトを追加してみてください %00, %0d%0a, %0d, %0a, %09, %0C, %20

コード/パラメータの空白文字

コードやパラメータに空白バイトを追加してみてください。例えば code=1234%0a や、メールアドレスに対してコードをリクエストしていて試行回数が5回しかない場合、example@email.comexample@email.com%0aexample@email.com%0a%0a...と続けて使用してみてください。

ヘッダーを使用したIP発信元の変更

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1


#or use double X-Forwared-For header
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

IPごとに10回の試行に制限されている場合は、10回の試行ごとにヘッダー内のIPを変更します。

他のヘッダーを変更する

ユーザーエージェントやクッキーなど、あなたを識別できる可能性のあるものを変更してみてください。

パスに追加パラメータを追加する

パス/resetpwdに制限がある場合、そのパスをBFして、レート制限に達したら/resetpwd?someparam=1を試してみてください。

各試行前にアカウントにログインする

各試行前にアカウントにログインするまたはX回の試行ごとに、レート制限がリセットされるかもしれません。ログイン機能を攻撃している場合、burpを使用してPitchfork攻撃でX回の試行ごとに資格情報を設定する(リダイレクトをフォローするようにマークする)ことができます。

htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ!

HackTricksをサポートする他の方法


Trickestを使用して、世界で最も先進的なコミュニティツールによって動力を供給されるワークフローを簡単に構築し自動化します。
今すぐアクセス:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}