Rate Limit Bypass
Last updated
Last updated
Tumia Trickest kujenga na kujiendesha kazi kwa urahisi kwa kutumia zana za jamii zilizoendelea zaidi duniani. Pata Ufikiaji Leo:
Jaribio linapaswa kufanywa kufanya mashambulizi ya nguvu ya kikatili kwenye tofauti za mipangilio inayolengwa, kama vile /api/v3/sign-up
, ikiwa ni pamoja na mbadala kama /Sing-up
, /SignUp
, /singup
, /api/v1/sign-up
, /api/sign-up
nk.
Kuingiza bytes za wazi kama %00
, %0d%0a
, %0d
, %0a
, %09
, %0C
, %20
katika msimbo au vigezo inaweza kuwa mkakati mzuri. Kwa mfano, kubadilisha kigezo kuwa code=1234%0a
kunaruhusu kupanua majaribio kupitia tofauti katika ingizo, kama kuongeza wahusika wapya kwenye anwani ya barua pepe ili kuzunguka mipaka ya majaribio.
Kubadilisha vichwa ili kubadilisha asili ya IP inayodhaniwa kunaweza kusaidia kuepuka mipango ya kiwango cha IP. Vichwa kama X-Originating-IP
, X-Forwarded-For
, X-Remote-IP
, X-Remote-Addr
, X-Client-IP
, X-Host
, X-Forwared-Host
, ikiwa ni pamoja na kutumia matukio mengi ya X-Forwarded-For
, yanaweza kubadilishwa ili kuiga maombi kutoka kwa IP tofauti.
Kubadilisha vichwa vingine vya ombi kama vile user-agent na cookies kunashauriwa, kwani hivi pia vinaweza kutumika kutambua na kufuatilia mifumo ya maombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtumiaji.
Baadhi ya API gateways zimewekwa ili kutekeleza ukomo wa kiwango kulingana na mchanganyiko wa mwisho wa huduma na vigezo. Kwa kubadilisha thamani za vigezo au kuongeza vigezo visivyo na maana kwenye ombi, inawezekana kupita mantiki ya ukomo wa kiwango ya gateway, na kufanya kila ombi kuonekana kuwa la kipekee. Kwa mfano /resetpwd?someparam=1
.
Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, kunaweza kurekebisha hesabu ya ukomo wa kiwango. Hii ni muhimu hasa wakati wa kujaribu kazi za kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha akidi kila baada ya majaribio kadhaa na kuhakikisha kwamba uelekeo wa kurudi umewekwa alama, kunaweza kuanzisha tena hesabu za ukomo wa kiwango kwa ufanisi.
Kuweka mtandao wa proxies ili kusambaza maombi kwenye anwani nyingi za IP kunaweza kupita kwa ufanisi mipaka ya kiwango inayotegemea IP. Kwa kuelekeza trafiki kupitia proxies mbalimbali, kila ombi linaonekana kutokea kutoka chanzo tofauti, likipunguza ufanisi wa ukomo wa kiwango.
Ikiwa mfumo wa lengo unatekeleza mipaka ya kiwango kwa msingi wa akaunti au sesheni, kusambaza shambulio au jaribio kati ya akaunti au sesheni nyingi kunaweza kusaidia katika kuepuka kugundulika. Njia hii inahitaji kusimamia vitambulisho vingi au token za sesheni, lakini inaweza kusambaza mzigo kwa ufanisi ili kubaki ndani ya mipaka inayoruhusiwa.
Kumbuka kwamba hata kama ukomo wa kiwango upo, unapaswa kujaribu kuona kama jibu ni tofauti wakati OTP halali inatumwa. Katika post hii, mv hunting aligundua kwamba hata kama ukomo wa kiwango unachochewa baada ya majaribio 20 yasiyofanikiwa kwa kujibu na 401, ikiwa moja halali ilitumwa, jibu la 200 lilipokelewa.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)