Rate Limit Bypass

Reading time: 5 minutes

Rate limit bypass techniques

Exploring Similar Endpoints

Pogings moet gemaak word om brute force-aanvalle uit te voer op variasies van die geteikende eindpunt, soos /api/v3/sign-up, insluitend alternatiewe soos /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up ens.

Incorporating Blank Characters in Code or Parameters

Die invoeging van leë bytes soos %00, %0d%0a, %0d, %0a, %09, %0C, %20 in kode of parameters kan 'n nuttige strategie wees. Byvoorbeeld, om 'n parameter aan te pas na code=1234%0a stel gebruikers in staat om pogings uit te brei deur variasies in invoer, soos om nuwe reël karakters by 'n e-posadres te voeg om om te gaan met pogingbeperkings.

Manipulating IP Origin via Headers

Die aanpassing van headers om die waargenome IP-oorsprong te verander kan help om IP-gebaseerde snelheidbeperkings te ontduik. Headers soos X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, insluitend die gebruik van meerdere instansies van X-Forwarded-For, kan aangepas word om versoeke van verskillende IP's te simuleer.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Verandering van Ander Headers

Dit word aanbeveel om ander versoekheaders soos die user-agent en koekies te verander, aangesien hierdie ook gebruik kan word om versoekpatrone te identifiseer en te volg. Die verandering van hierdie headers kan herkenning en opsporing van die versoeker se aktiwiteite voorkom.

Benutting van API Gateway Gedrag

Sommige API-gateways is geconfigureer om koersbeperkings toe te pas op grond van die kombinasie van eindpunt en parameters. Deur die parameterwaardes te varieer of nie-betekenisvolle parameters aan die versoek toe te voeg, is dit moontlik om die gateway se koersbeperkingslogika te omseil, wat elke versoek uniek laat voorkom. Byvoorbeeld /resetpwd?someparam=1.

Inlog in Jou Rekening Voor Elke Poging

Inlog in 'n rekening voor elke poging, of elke stel pogings, kan die koersbeperkings teller reset. Dit is veral nuttig wanneer jy inlogfunksies toets. Die gebruik van 'n Pitchfork-aanval in gereedskap soos Burp Suite, om akrediteer te roteer elke paar pogings en te verseker dat volg-omleidings gemerk is, kan effektief koersbeperkings tellers herbegin.

Benutting van Proxy Netwerke

Die ontplooiing van 'n netwerk van proxies om die versoeke oor verskeie IP-adresse te versprei, kan effektief IP-gebaseerde koersbeperkings omseil. Deur verkeer deur verskeie proxies te lei, lyk elke versoek asof dit van 'n ander bron afkomstig is, wat die doeltreffendheid van die koersbeperking verdun.

Verdelen van die Aanval oor Verskillende Rekeninge of Sessies

As die teikenstelsel koersbeperkings op 'n per-rekening of per-sessie basis toepas, kan die verspreiding van die aanval of toets oor verskeie rekening of sessies help om opsporing te vermy. Hierdie benadering vereis die bestuur van verskeie identiteite of sessietokens, maar kan effektief die las versprei om binne toelaatbare grense te bly.

Hou Aan Probeer

Let daarop dat selfs al is daar 'n koersbeperking in plek, jy moet probeer om te sien of die reaksie verskil wanneer die geldige OTP gestuur word. In hierdie pos, het die foutjagter ontdek dat selfs al is 'n koersbeperking geaktiveer na 20 onsuksesvolle pogings deur met 401 te reageer, as die geldige een gestuur is, 'n 200 reaksie ontvang is.

Gereedskap

• https://github.com/Hashtag-AMIN/hashtag-fuzz: hashtag-fuzz is 'n fuzzing-gereedskap wat ontwerp is om WAFs en CDNs te toets en te omseil. Deur gevorderde funksies soos ewekansige User-Agent en headerwaarde, ewekansige vertragings, multi-threading te hanteer, selektiewe chunking van woordlyste en Round Robin proxy-rotasie vir elke chunked, bied dit 'n robuuste oplossing vir sekuriteitsprofessionals wat daarop gemik is om kwesbaarhede in webtoepassings te identifiseer.