Rate Limit Bypass
Use Trickest para construir e automatizar fluxos de trabalho facilmente, impulsionados pelas ferramentas da comunidade mais avançadas do mundo. Acesse hoje:
Técnicas de Bypass de Limite de Taxa
Explorando Endpoints Similares
Devem ser feitas tentativas de realizar ataques de força bruta em variações do endpoint alvo, como /api/v3/sign-up
, incluindo alternativas como /Sing-up
, /SignUp
, /singup
, /api/v1/sign-up
, /api/sign-up
, etc.
Incorporando Caracteres em Branco em Código ou Parâmetros
Inserir bytes em branco como %00
, %0d%0a
, %0d
, %0a
, %09
, %0C
, %20
em código ou parâmetros pode ser uma estratégia útil. Por exemplo, ajustar um parâmetro para code=1234%0a
permite estender tentativas através de variações na entrada, como adicionar caracteres de nova linha a um endereço de e-mail para contornar limitações de tentativas.
Manipulando a Origem do IP via Cabeçalhos
Modificar cabeçalhos para alterar a origem do IP percebida pode ajudar a evadir limites de taxa baseados em IP. Cabeçalhos como X-Originating-IP
, X-Forwarded-For
, X-Remote-IP
, X-Remote-Addr
, X-Client-IP
, X-Host
, X-Forwared-Host
, incluindo o uso de várias instâncias de X-Forwarded-For
, podem ser ajustados para simular solicitações de diferentes IPs.
Mudando Outros Cabeçalhos
Alterar outros cabeçalhos de solicitação, como o user-agent e cookies, é recomendado, pois esses também podem ser usados para identificar e rastrear padrões de solicitação. Mudar esses cabeçalhos pode prevenir o reconhecimento e rastreamento das atividades do solicitante.
Aproveitando o Comportamento do API Gateway
Alguns API gateways são configurados para aplicar limites de taxa com base na combinação de endpoint e parâmetros. Variando os valores dos parâmetros ou adicionando parâmetros não significativos à solicitação, é possível contornar a lógica de limitação de taxa do gateway, fazendo com que cada solicitação pareça única. Por exemplo /resetpwd?someparam=1
.
Fazendo Login na Sua Conta Antes de Cada Tentativa
Fazer login em uma conta antes de cada tentativa, ou a cada conjunto de tentativas, pode redefinir o contador de limite de taxa. Isso é especialmente útil ao testar funcionalidades de login. Utilizar um ataque Pitchfork em ferramentas como Burp Suite, para rotacionar credenciais a cada poucas tentativas e garantir que os redirecionamentos sejam marcados, pode efetivamente reiniciar os contadores de limite de taxa.
Utilizando Redes de Proxy
Implantar uma rede de proxies para distribuir as solicitações entre vários endereços IP pode efetivamente contornar limites de taxa baseados em IP. Roteando o tráfego através de vários proxies, cada solicitação parece originar de uma fonte diferente, diluindo a eficácia do limite de taxa.
Dividindo o Ataque Entre Diferentes Contas ou Sessões
Se o sistema alvo aplica limites de taxa com base em cada conta ou sessão, distribuir o ataque ou teste entre várias contas ou sessões pode ajudar a evitar a detecção. Essa abordagem requer gerenciar múltiplas identidades ou tokens de sessão, mas pode efetivamente distribuir a carga para permanecer dentro dos limites permitidos.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Last updated