Rate Limit Bypass

Reading time: 4 minutes

Rate limit bypass techniques

Exploring Similar Endpoints

Jaribio zinapaswa kufanywa kufanya mashambulizi ya nguvu ya kikatili kwenye tofauti za mwisho zilizokusudiwa, kama vile /api/v3/sign-up, ikiwa ni pamoja na mbadala kama /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up n.k.

Incorporating Blank Characters in Code or Parameters

Kuingiza bytes za tupu kama %00, %0d%0a, %0d, %0a, %09, %0C, %20 katika msimbo au vigezo kunaweza kuwa mkakati mzuri. Kwa mfano, kubadilisha parameter kuwa code=1234%0a kunaruhusu kupanua majaribio kupitia tofauti katika ingizo, kama kuongeza wahusika wapya kwenye anwani ya barua pepe ili kuzunguka mipaka ya majaribio.

Manipulating IP Origin via Headers

Kubadilisha vichwa vya habari ili kubadilisha IP inayodhaniwa inaweza kusaidia kuepuka mipaka ya kiwango kulingana na IP. Vichwa vya habari kama X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, ikiwa ni pamoja na kutumia matukio mengi ya X-Forwarded-For, yanaweza kubadilishwa ili kuiga maombi kutoka IP tofauti.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Kubadilisha Vichwa Vingine

Kubadilisha vichwa vingine vya ombi kama vile user-agent na cookies kunashauriwa, kwani hivi pia vinaweza kutumika kubaini na kufuatilia mifumo ya maombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtumiaji.

Kutumia Tabia ya API Gateway

Baadhi ya API gateways zimewekwa ili kutekeleza ukomo wa kiwango kulingana na mchanganyiko wa mwisho wa huduma na vigezo. Kwa kubadilisha thamani za vigezo au kuongeza vigezo visivyo na maana kwenye ombi, inawezekana kupita mantiki ya ukomo wa kiwango ya gateway, na kufanya kila ombi kuonekana kuwa la kipekee. Kwa mfano /resetpwd?someparam=1.

Kuingia Kwenye Akaunti Yako Kabla ya Kila Jaribio

Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, kunaweza kurekebisha hesabu ya ukomo wa kiwango. Hii ni muhimu hasa wakati wa kujaribu kazi za kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha akidi kila majaribio kadhaa na kuhakikisha kwamba uelekeo wa kurudi umewekwa alama, kunaweza kuanzisha tena hesabu za ukomo wa kiwango kwa ufanisi.

Kutumia Mitandao ya Proxy

Kuweka mtandao wa proxies ili kusambaza maombi kwenye anwani nyingi za IP kunaweza kupita kwa ufanisi mipaka ya kiwango inayotegemea IP. Kwa kuelekeza trafiki kupitia proxies mbalimbali, kila ombi linaonekana kutokea kutoka chanzo tofauti, likipunguza ufanisi wa ukomo wa kiwango.

Kugawanya Shambulio Kati ya Akaunti au Sesheni Tofauti

Ikiwa mfumo wa lengo unatekeleza mipaka ya kiwango kwa msingi wa akaunti au sesheni, kusambaza shambulio au jaribio kati ya akaunti au sesheni nyingi kunaweza kusaidia katika kuepuka kugundulika. Njia hii inahitaji kusimamia vitambulisho vingi au token za sesheni, lakini inaweza kusambaza mzigo kwa ufanisi ili kubaki ndani ya mipaka inayoruhusiwa.

Endelea Kujaribu

Kumbuka kwamba hata kama ukomo wa kiwango upo unapaswa kujaribu kuona kama jibu ni tofauti wakati OTP halali inatumwa. Katika post hii, mv hunting aligundua kwamba hata kama ukomo wa kiwango unachochewa baada ya majaribio 20 yasiyofanikiwa kwa kujibu na 401, ikiwa moja halali ilitumwa jibu la 200 lilipokelewa.