Rate Limit Bypass

Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane od strane najnaprednijih alata zajednice. Pribavite pristup danas:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Tehnike za zaobilaženje ograničenja brzine

Istraživanje sličnih krajnjih tačaka

Treba pokušati izvršiti brute force napade na varijacije ciljne krajnje tačke, kao što su /api/v3/sign-up, uključujući alternative poput /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up itd.

Uključivanje praznih karaktera u kod ili parametre

Umetanje praznih bajtova kao što su %00, %0d%0a, %0d, %0a, %09, %0C, %20 u kod ili parametre može biti korisna strategija. Na primer, podešavanje parametra na code=1234%0a omogućava produžavanje pokušaja kroz varijacije u unosu, poput dodavanja karaktera novog reda u adresu e-pošte kako bi se zaobišla ograničenja pokušaja.

Manipulacija IP poreklom putem zaglavlja

Modifikovanje zaglavlja kako bi se promenilo percipirano IP poreklo može pomoći u izbegavanju ograničenja brzine zasnovanih na IP-u. Zaglavlja kao što su X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, uključujući korišćenje više instanci X-Forwarded-For, mogu se prilagoditi da simuliraju zahteve sa različitih IP adresa.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Promena drugih zaglavlja

Preporučuje se menjanje drugih zaglavlja zahteva kao što su user-agent i kolačići, jer se ona takođe mogu koristiti za identifikaciju i praćenje obrazaca zahteva. Promena ovih zaglavlja može sprečiti prepoznavanje i praćenje aktivnosti podnosioca zahteva.

Iskorišćavanje ponašanja API Gateway-a

Neki API gateway-evi su konfigurisani da primenjuju ograničenje brzine na osnovu kombinacije krajnje tačke i parametara. Variranjem vrednosti parametara ili dodavanjem nebitnih parametara u zahtev, moguće je zaobići logiku ograničenja brzine gateway-a, čineći svaki zahtev jedinstvenim. Na primer /resetpwd?someparam=1.

Prijavljivanje na svoj nalog pre svakog pokušaja

Prijavljivanje na nalog pre svakog pokušaja, ili svakog skupa pokušaja, može resetovati brojač ograničenja brzine. Ovo je posebno korisno prilikom testiranja funkcionalnosti prijavljivanja. Korišćenje Pitchfork napada u alatima kao što je Burp Suite, za rotaciju akreditiva svakih nekoliko pokušaja i osiguranje da su praćeni preusmeravanja označeni, može efikasno restartovati brojače ograničenja brzine.

Korišćenje mreža proksija

Implementacija mreže proksija za distribuciju zahteva preko više IP adresa može efikasno zaobići ograničenja brzine zasnovana na IP-u. Usmeravanjem saobraćaja kroz različite proksije, svaki zahtev izgleda kao da potiče iz različitog izvora, razvodnjavajući efikasnost ograničenja brzine.

Deljenje napada preko različitih naloga ili sesija

Ako ciljni sistem primenjuje ograničenja brzine na osnovu naloga ili sesije, distribucija napada ili testa preko više naloga ili sesija može pomoći u izbegavanju otkrivanja. Ovaj pristup zahteva upravljanje više identiteta ili sesijskih tokena, ali može efikasno raspodeliti opterećenje kako bi ostalo unutar dozvoljenih granica.

Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:

Automate OffSec, EASM, and Custom Security Processes | Trickest