Trickest का उपयोग करें और आसानी से दुनिया के सबसे उन्नत समुदाय उपकरणों द्वारा संचालित कार्यप्रवाह बनाएं। आज ही पहुंचें:

दर सीमा उल्लंघन तकनीकें

समान अंत बिंदु अन्वेषण

प्रयास किए जाने चाहिए कि लक्षित अंत बिंदु के विविधताओं पर ब्रूट फोर्स हमले किए जाएं, जैसे कि /api/v3/sign-up, /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up आदि।

कोड या पैरामीटर में रिक्त वर्ण शामिल करना

कोड या पैरामीटर में %00, %0d%0a, %0d, %0a, %09, %0C, %20 जैसे रिक्त बाइट डालना एक उपयोगी रणनीति हो सकती है। उदाहरण के लिए, पैरामीटर को code=1234%0a पर समायोजित करने से प्रयासों को विस्तारित किया जा सकता है जैसे कि ईमेल पते में न्यूलाइन वर्ण जोड़कर प्रयास सीमा को दौर करने के लिए।

हेडर्स के माध्यम से आईपी मूल का परिवर्तन

समझे गए आईपी मूल को बदलने के लिए हेडर्स को संशोधित करना आईपी-आधारित दर सीमा नियंत्रण से बचने में मदद कर सकता है। X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host जैसे हेडर्स, X-Forwarded-For के एकाधिक उदाहरणों का उपयोग करना, विभिन्न आईपी से अनुरोधों का अनुकरण करने के लिए समायोजित किया जा सकता है।

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

अन्य हेडर्स को बदलना

उपयोगकर्ता एजेंट और कुकी जैसे अन्य अनुरोध हेडर्स को बदलना सुझावित है, क्योंकि इन्हें अनुरोध पैटर्न की पहचान और ट्रैक करने के लिए इस्तेमाल किया जा सकता है। इन हेडर्स को बदलने से अनुरोधकर्ता की गतिविधियों की पहचान और ट्रैकिंग को रोका जा सकता है।

API गेटवे व्यवहार का उपयोग करना

कुछ API गेटवे को अंतबिंदु और पैरामीटर के संयोजन पर आधारित दर सीमा लगाने की विन्यासित किया गया है। पैरामीटर मानों को बदलकर या अनर्थक पैरामीटर जोड़कर अनुरोध को गेटवे की दर सीमा तार्किकता को दूर करना संभव है, जिससे प्रत्येक अनुरोध अद्वितीय दिखाई देता है। उदाहरण के लिए /resetpwd?someparam=1।

प्रत्येक प्रयास से पहले अपने खाते में लॉगिन करना

प्रत्येक प्रयास से पहले खाते में लॉगिन करना, या प्रत्येक सेट के प्रयासों के बाद, दर सीमा गिनती को रीसेट कर सकता है। यह विशेष रूप से लॉगिन कार्यक्षमताओं का परीक्षण करते समय उपयोगी है। Burp Suite जैसे उपकरणों में Pitchfork हमला का उपयोग करना, क्रेडेंशियल्स को कुछ प्रयासों के बाद परिवर्तित करना और पुनर्निर्देशन को चिह्नित करना, दर सीमा गिनती को पुनरारंभ कर सकता है।

प्रॉक्सी नेटवर्क का उपयोग करना

अनुरोधों को कई आईपी पतों पर वितरित करने के लिए प्रॉक्सी नेटवर्क लागू करना आईपी-आधारित दर सीमाओं को पार करने में कारगर हो सकता है। विभिन्न प्रॉक्सी के माध्यम से ट्रैफिक को रूट करके, प्रत्येक अनुरोध को एक विभिन्न स्रोत से उत्पन्न होने का अनुभव होता है, जिससे दर सीमा की प्रभावकारिता को घटाया जा सकता है।

विभिन्न खातों या सत्रों पर हमला विभाजन

यदि लक्षित सिस्टम एक खाते या सत्र के आधार पर दर सीमाएं लागू करता है, तो हमला या परीक्षण को विभिन्न खातों या सत्रों पर विभाजित करना पकड़ने से बचाने में मदद कर सकता है। इस दृष्टिकोण को प्रबंधित करने के लिए कई पहचानें या सत्र टोकन का प्रबंधन करने की आवश्यकता होती है, लेकिन अनुमति दी गई सीमाओं के भीतर रहने के लिए भार को वितरित करने में सक्षम हो सकता है।