Rate Limit Bypass

Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Rate limit bypass teknikleri

Benzer Uç Noktaları Keşfetme

Hedef uç noktanın varyasyonlarına, örneğin /api/v3/sign-up, /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up gibi alternatiflere karşı brute force saldırıları gerçekleştirmek için denemeler yapılmalıdır.

Kod veya Parametrelerde Boş Karakterler Kullanma

Kod veya parametrelere %00, %0d%0a, %0d, %0a, %09, %0C, %20 gibi boş baytlar eklemek faydalı bir strateji olabilir. Örneğin, bir parametreyi code=1234%0a olarak ayarlamak, girişteki varyasyonlar aracılığıyla deneme sayısını artırmayı sağlar; bu, bir e-posta adresine yeni satır karakterleri ekleyerek deneme sınırlamalarını aşmayı mümkün kılar.

Başlıklar Aracılığıyla IP Kaynağını Manipüle Etme

Algılanan IP kaynağını değiştirmek için başlıkları değiştirmek, IP tabanlı rate limiting'den kaçınmaya yardımcı olabilir. X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host gibi başlıklar, farklı IP'lerden gelen istekleri simüle etmek için birden fazla X-Forwarded-For örneği kullanarak ayarlanabilir.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Diğer Başlıkları Değiştirme

Kullanıcı ajanı ve çerezler gibi diğer istek başlıklarını değiştirmek önerilir, çünkü bunlar da istek kalıplarını tanımlamak ve takip etmek için kullanılabilir. Bu başlıkların değiştirilmesi, talep edenin faaliyetlerinin tanınmasını ve izlenmesini önleyebilir.

API Gateway Davranışını Kullanma

Bazı API geçitleri, uç nokta ve parametrelerin kombinasyonuna dayalı olarak oran sınırlaması uygulamak için yapılandırılmıştır. Parametre değerlerini değiştirerek veya isteğe önemsiz parametreler ekleyerek, geçidin oran sınırlama mantığını aşmak mümkündür; bu da her isteğin benzersiz görünmesini sağlar. Örneğin /resetpwd?someparam=1.

Her Denemeden Önce Hesabınıza Giriş Yapma

Her denemeden veya her deneme setinden önce bir hesaba giriş yapmak, oran sınırlama sayacını sıfırlayabilir. Bu, özellikle giriş işlevselliklerini test ederken faydalıdır. Burp Suite gibi araçlarda, birkaç denemeden sonra kimlik bilgilerini döndürmek ve yönlendirmelerin işaretlendiğinden emin olmak için bir Pitchfork saldırısı kullanmak, oran sınırlama sayaçlarını etkili bir şekilde yeniden başlatabilir.

Proxy Ağlarını Kullanma

İstekleri birden fazla IP adresi arasında dağıtmak için bir proxy ağı dağıtmak, IP tabanlı oran sınırlamalarını etkili bir şekilde aşabilir. Trafiği çeşitli proxy'ler üzerinden yönlendirerek, her istek farklı bir kaynaktan geliyormuş gibi görünür, bu da oran sınırlamasının etkinliğini azaltır.

Saldırıyı Farklı Hesaplar veya Oturumlar Arasında Bölme

Hedef sistem, oran sınırlamalarını hesap başına veya oturum başına uyguluyorsa, saldırıyı veya testi birden fazla hesap veya oturum arasında dağıtmak, tespiti önlemeye yardımcı olabilir. Bu yaklaşım, birden fazla kimlik veya oturum belirteci yönetmeyi gerektirir, ancak yükü izin verilen sınırlar içinde tutmak için etkili bir şekilde dağıtabilir.

Denemeye Devam Edin

Bir oran sınırlaması olsa bile, geçerli OTP gönderildiğinde yanıtın farklı olup olmadığını görmek için denemeye devam etmelisiniz. bu yazıda, hata avcısı, 20 başarısız denemeden sonra 401 ile yanıt verildiğinde bir oran sınırlaması tetiklense bile, geçerli olan gönderildiğinde 200 yanıtı alındığını keşfetti.

Trickest kullanarak dünyanın en gelişmiş topluluk araçlarıyla iş akışlarını kolayca oluşturun ve otomatikleştirin. Bugün Erişim Alın:

Automate OffSec, EASM, and Custom Security Processes | Trickest