Rate Limit Bypass
Last updated
Last updated
Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten:
Es sollten Versuche unternommen werden, Brute-Force-Angriffe auf Variationen des angezielten Endpunkts durchzuführen, wie z.B. /api/v3/sign-up
, einschließlich Alternativen wie /Sing-up
, /SignUp
, /singup
, /api/v1/sign-up
, /api/sign-up
usw.
Das Einfügen von Leerbytes wie %00
, %0d%0a
, %0d
, %0a
, %09
, %0C
, %20
in Code oder Parameter kann eine nützliche Strategie sein. Zum Beispiel ermöglicht die Anpassung eines Parameters auf code=1234%0a
das Erweitern von Versuchen durch Variationen in der Eingabe, wie das Hinzufügen von Zeilenumbrüchen zu einer E-Mail-Adresse, um Versuchsbeschränkungen zu umgehen.
Das Ändern von Headern, um den wahrgenommenen IP-Ursprung zu ändern, kann helfen, IP-basierte Ratenbegrenzungen zu umgehen. Header wie X-Originating-IP
, X-Forwarded-For
, X-Remote-IP
, X-Remote-Addr
, X-Client-IP
, X-Host
, X-Forwared-Host
, einschließlich der Verwendung mehrerer Instanzen von X-Forwarded-For
, können angepasst werden, um Anfragen von verschiedenen IPs zu simulieren.
Es wird empfohlen, andere Anfrage-Header wie den User-Agent und Cookies zu ändern, da diese ebenfalls zur Identifizierung und Verfolgung von Anfrage-Mustern verwendet werden können. Das Ändern dieser Header kann die Erkennung und Verfolgung der Aktivitäten des Anfragenden verhindern.
Einige API-Gateways sind so konfiguriert, dass sie die Ratenbegrenzung basierend auf der Kombination von Endpunkt und Parametern anwenden. Durch Variieren der Parameterwerte oder Hinzufügen von nicht signifikanten Parametern zur Anfrage ist es möglich, die Ratenbegrenzungslogik des Gateways zu umgehen, sodass jede Anfrage einzigartig erscheint. Zum Beispiel /resetpwd?someparam=1
.
Die Anmeldung in einem Konto vor jedem Versuch oder jeder Versuchsreihe kann den Zähler für die Ratenbegrenzung zurücksetzen. Dies ist besonders nützlich, wenn Login-Funktionen getestet werden. Die Nutzung eines Pitchfork-Angriffs in Tools wie Burp Suite, um die Anmeldeinformationen alle paar Versuche zu rotieren und sicherzustellen, dass Weiterleitungen markiert sind, kann die Zähler für die Ratenbegrenzung effektiv zurücksetzen.
Der Einsatz eines Netzwerks von Proxys, um die Anfragen über mehrere IP-Adressen zu verteilen, kann IP-basierte Ratenbegrenzungen effektiv umgehen. Durch das Routen des Verkehrs über verschiedene Proxys scheint jede Anfrage von einer anderen Quelle zu stammen, wodurch die Effektivität der Ratenbegrenzung verringert wird.
Wenn das Zielsystem Ratenbegrenzungen auf Basis von Konto oder Sitzung anwendet, kann das Verteilen des Angriffs oder Tests über mehrere Konten oder Sitzungen helfen, eine Erkennung zu vermeiden. Dieser Ansatz erfordert die Verwaltung mehrerer Identitäten oder Sitzungstoken, kann jedoch effektiv die Last verteilen, um innerhalb der zulässigen Grenzen zu bleiben.
Beachten Sie, dass Sie auch dann versuchen sollten, zu sehen, ob die Antwort anders ist, wenn die gültige OTP gesendet wird, selbst wenn eine Ratenbegrenzung besteht. In diesem Beitrag entdeckte der Bug-Jäger, dass selbst wenn eine Ratenbegrenzung nach 20 erfolglosen Versuchen mit 401 ausgelöst wird, eine 200-Antwort empfangen wurde, wenn die gültige gesendet wurde.
Verwenden Sie Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Zugang heute erhalten:
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)