Rate Limit Bypass

Reading time: 4 minutes

Tehnike za zaobilaženje ograničenja brzine

Istraživanje sličnih krajnjih tačaka

Treba pokušati izvršiti brute force napade na varijacije ciljne krajnje tačke, kao što su /api/v3/sign-up, uključujući alternative poput /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up itd.

Uključivanje praznih karaktera u kod ili parametre

Umetanje praznih bajtova kao što su %00, %0d%0a, %0d, %0a, %09, %0C, %20 u kod ili parametre može biti korisna strategija. Na primer, podešavanje parametra na code=1234%0a omogućava proširenje pokušaja kroz varijacije u unosu, kao što je dodavanje karaktera novog reda u adresu e-pošte kako bi se zaobišla ograničenja pokušaja.

Manipulacija IP poreklom putem zaglavlja

Modifikovanje zaglavlja kako bi se promenilo percipirano IP poreklo može pomoći u izbegavanju ograničenja brzine zasnovanih na IP-u. Zaglavlja kao što su X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, uključujući korišćenje više instanci X-Forwarded-For, mogu se prilagoditi kako bi se simulirali zahtevi sa različitih IP adresa.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Promena drugih zaglavlja

Preporučuje se menjanje drugih zaglavlja zahteva kao što su user-agent i kolačići, jer se ona takođe mogu koristiti za identifikaciju i praćenje obrazaca zahteva. Promena ovih zaglavlja može sprečiti prepoznavanje i praćenje aktivnosti podnosioca zahteva.

Iskorišćavanje ponašanja API Gateway-a

Neki API gateway-evi su konfigurisani da primenjuju ograničenje brzine na osnovu kombinacije krajnje tačke i parametara. Variranjem vrednosti parametara ili dodavanjem nebitnih parametara u zahtev, moguće je zaobići logiku ograničenja brzine gateway-a, čineći svaki zahtev jedinstvenim. Na primer /resetpwd?someparam=1.

Prijavljivanje na svoj nalog pre svakog pokušaja

Prijavljivanje na nalog pre svakog pokušaja, ili svake serije pokušaja, može resetovati brojač ograničenja brzine. Ovo je posebno korisno prilikom testiranja funkcionalnosti prijavljivanja. Korišćenje Pitchfork napada u alatima kao što je Burp Suite, za rotaciju kredencijala svake nekoliko pokušaja i osiguranje da su praćeni preusmeravanja označeni, može efikasno restartovati brojače ograničenja brzine.

Korišćenje mreža proksija

Implementacija mreže proksija za distribuciju zahteva preko više IP adresa može efikasno zaobići ograničenja brzine zasnovana na IP-u. Usmeravanjem saobraćaja kroz različite proksije, svaki zahtev izgleda kao da potiče iz različitog izvora, razblažujući efikasnost ograničenja brzine.

Deljenje napada preko različitih naloga ili sesija

Ako ciljni sistem primenjuje ograničenja brzine na osnovu naloga ili sesije, distribucija napada ili testa preko više naloga ili sesija može pomoći u izbegavanju otkrivanja. Ovaj pristup zahteva upravljanje više identiteta ili sesijskih tokena, ali može efikasno raspodeliti opterećenje kako bi ostalo unutar dozvoljenih granica.

Nastavite da pokušavate

Imajte na umu da čak i ako je ograničenje brzine postavljeno, trebali biste pokušati da vidite da li je odgovor drugačiji kada se pošalje važeći OTP. U ovom postu, lovac na greške je otkrio da čak i ako se ograničenje brzine aktivira nakon 20 neuspešnih pokušaja odgovaranjem sa 401, ako je važeći poslat, primljen je odgovor 200.