Rate Limit Bypass

Reading time: 4 minutes

Rate limit bypass techniques

Exploring Similar Endpoints

लक्षित एंडपॉइंट के विभिन्न रूपों पर ब्रूट फोर्स हमलों का प्रयास किया जाना चाहिए, जैसे कि /api/v3/sign-up, जिसमें विकल्प जैसे /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up आदि शामिल हैं।

Incorporating Blank Characters in Code or Parameters

कोड या पैरामीटर में %00, %0d%0a, %0d, %0a, %09, %0C, %20 जैसे खाली बाइट्स डालना एक उपयोगी रणनीति हो सकती है। उदाहरण के लिए, एक पैरामीटर को code=1234%0a में समायोजित करना इनपुट में भिन्नताओं के माध्यम से प्रयासों को बढ़ाने की अनुमति देता है, जैसे कि ईमेल पते में नई पंक्ति के अक्षर जोड़ना ताकि प्रयास सीमाओं को पार किया जा सके।

Manipulating IP Origin via Headers

हेडर को संशोधित करना ताकि धारित IP मूल को बदला जा सके, IP-आधारित दर सीमाओं से बचने में मदद कर सकता है। हेडर जैसे X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, जिसमें X-Forwarded-For के कई उदाहरणों का उपयोग करना शामिल है, विभिन्न IPs से अनुरोधों का अनुकरण करने के लिए समायोजित किया जा सकता है।

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

अन्य हेडर बदलना

अन्य अनुरोध हेडर जैसे कि उपयोगकर्ता-एजेंट और कुकीज़ को बदलना अनुशंसित है, क्योंकि इन्हें अनुरोध पैटर्न की पहचान और ट्रैकिंग के लिए भी उपयोग किया जा सकता है। इन हेडर्स को बदलने से अनुरोधकर्ता की गतिविधियों की पहचान और ट्रैकिंग को रोकने में मदद मिल सकती है।

API गेटवे व्यवहार का लाभ उठाना

कुछ API गेटवे को एंडपॉइंट और पैरामीटर के संयोजन के आधार पर दर सीमा लागू करने के लिए कॉन्फ़िगर किया गया है। पैरामीटर मानों को बदलकर या अनुरोध में गैर-प्रमुख पैरामीटर जोड़कर, गेटवे की दर-सीमित लॉजिक को बायपास करना संभव है, जिससे प्रत्येक अनुरोध अद्वितीय प्रतीत होता है। उदाहरण के लिए /resetpwd?someparam=1।

प्रत्येक प्रयास से पहले अपने खाते में लॉग इन करना

प्रत्येक प्रयास से पहले या प्रयासों के हर सेट से पहले एक खाते में लॉग इन करना दर सीमा काउंटर को रीसेट कर सकता है। यह लॉगिन कार्यक्षमताओं का परीक्षण करते समय विशेष रूप से उपयोगी है। Burp Suite जैसे उपकरणों में एक Pitchfork हमले का उपयोग करके, हर कुछ प्रयासों में क्रेडेंशियल्स को घुमाना और सुनिश्चित करना कि फॉलो रीडायरेक्ट्स को चिह्नित किया गया है, दर सीमा काउंटर को प्रभावी ढंग से पुनः प्रारंभ कर सकता है।

प्रॉक्सी नेटवर्क का उपयोग करना

कई IP पते के बीच अनुरोधों को वितरित करने के लिए प्रॉक्सी का एक नेटवर्क तैनात करना IP-आधारित दर सीमाओं को प्रभावी ढंग से बायपास कर सकता है। विभिन्न प्रॉक्सियों के माध्यम से ट्रैफ़िक को रूट करके, प्रत्येक अनुरोध एक अलग स्रोत से उत्पन्न होने के रूप में दिखाई देता है, जिससे दर सीमा की प्रभावशीलता कम हो जाती है।

विभिन्न खातों या सत्रों के बीच हमले को विभाजित करना

यदि लक्षित प्रणाली प्रति-खाता या प्रति-सत्र आधार पर दर सीमाएँ लागू करती है, तो कई खातों या सत्रों के बीच हमले या परीक्षण को वितरित करना पहचान से बचने में मदद कर सकता है। इस दृष्टिकोण के लिए कई पहचान या सत्र टोकन का प्रबंधन करना आवश्यक है, लेकिन यह अनुमेय सीमाओं के भीतर रहने के लिए लोड को प्रभावी ढंग से वितरित कर सकता है।

प्रयास करते रहना

ध्यान दें कि भले ही दर सीमा लागू हो, आपको यह देखने के लिए प्रयास करना चाहिए कि क्या जब मान्य OTP भेजा जाता है तो प्रतिक्रिया अलग होती है। इस पोस्ट में, बग शिकारी ने खोजा कि भले ही 20 असफल प्रयासों के बाद दर सीमा सक्रिय हो जाए और 401 के साथ प्रतिक्रिया मिले, यदि मान्य OTP भेजा गया तो 200 प्रतिक्रिया प्राप्त हुई।