Rate Limit Bypass

Reading time: 5 minutes

Rate limit bypass techniques

Exploring Similar Endpoints

Jaribio zinapaswa kufanywa kufanya mashambulizi ya nguvu ya kikatili kwenye tofauti za mwisho zilizokusudiwa, kama vile /api/v3/sign-up, ikiwa ni pamoja na mbadala kama /Sing-up, /SignUp, /singup, /api/v1/sign-up, /api/sign-up nk.

Incorporating Blank Characters in Code or Parameters

Kuingiza bytes za tupu kama %00, %0d%0a, %0d, %0a, %09, %0C, %20 katika msimbo au vigezo inaweza kuwa mkakati mzuri. Kwa mfano, kubadilisha parameter kuwa code=1234%0a kunaruhusu kupanua majaribio kupitia tofauti katika ingizo, kama kuongeza wahusika wapya kwenye anwani ya barua pepe ili kuzunguka mipaka ya majaribio.

Manipulating IP Origin via Headers

Kubadilisha vichwa vya habari ili kubadilisha IP inayotambulika inaweza kusaidia kuepuka mipaka ya kiwango inayotegemea IP. Vichwa vya habari kama X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr, X-Client-IP, X-Host, X-Forwared-Host, ikiwa ni pamoja na kutumia matukio mengi ya X-Forwarded-For, yanaweza kubadilishwa ili kuiga maombi kutoka IP tofauti.

X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-Client-IP: 127.0.0.1
X-Host: 127.0.0.1
X-Forwared-Host: 127.0.0.1

# Double X-Forwarded-For header example
X-Forwarded-For:
X-Forwarded-For: 127.0.0.1

Kubadilisha Vichwa Vingine

Kubadilisha vichwa vingine vya ombi kama vile user-agent na cookies kunashauriwa, kwani hivi pia vinaweza kutumika kubaini na kufuatilia mifumo ya maombi. Kubadilisha vichwa hivi kunaweza kuzuia kutambuliwa na kufuatiliwa kwa shughuli za mtumiaji.

Kutumia Tabia ya API Gateway

Baadhi ya API gateways zimewekwa ili kutekeleza mipaka ya kiwango kulingana na mchanganyiko wa mwisho wa huduma na vigezo. Kwa kubadilisha thamani za vigezo au kuongeza vigezo visivyo na maana kwenye ombi, inawezekana kupita mantiki ya mipaka ya kiwango ya gateway, na kufanya kila ombi kuonekana kuwa la kipekee. Kwa mfano /resetpwd?someparam=1.

Kuingia Kwenye Akaunti Yako Kabla ya Kila Jaribio

Kuingia kwenye akaunti kabla ya kila jaribio, au kila seti ya majaribio, kunaweza kurekebisha hesabu ya mipaka ya kiwango. Hii ni muhimu hasa wakati wa kujaribu kazi za kuingia. Kutumia shambulio la Pitchfork katika zana kama Burp Suite, kubadilisha akidi kila majaribio machache na kuhakikisha kwamba uelekeo wa kufuatilia umewekwa, kunaweza kuanzisha tena hesabu za mipaka ya kiwango kwa ufanisi.

Kutumia Mitandao ya Proxy

Kuweka mtandao wa proxies ili kusambaza maombi kwenye anwani nyingi za IP kunaweza kupita mipaka ya kiwango inayotegemea IP kwa ufanisi. Kwa kuelekeza trafiki kupitia proxies mbalimbali, kila ombi linaonekana kutokea kutoka chanzo tofauti, likipunguza ufanisi wa mipaka ya kiwango.

Kugawanya Shambulio Kati ya Akaunti au Sesheni Tofauti

Ikiwa mfumo wa lengo unatekeleza mipaka ya kiwango kwa msingi wa akaunti au sesheni, kusambaza shambulio au jaribio kati ya akaunti au sesheni nyingi kunaweza kusaidia katika kuepuka kugundulika. Njia hii inahitaji kusimamia vitambulisho vingi au token za sesheni, lakini inaweza kusambaza mzigo kwa ufanisi ili kubaki ndani ya mipaka inayoruhusiwa.

Endelea Kujaribu

Kumbuka kwamba hata kama mipaka ya kiwango ipo unapaswa kujaribu kuona kama jibu ni tofauti wakati OTP halali inatumwa. Katika post hii, mv hunting aligundua kwamba hata kama mipaka ya kiwango ilipangwa baada ya majaribio 20 yasiyofanikiwa kwa kujibu na 401, ikiwa halali ilitumwa jibu la 200 lilipokelewa.

Zana

• https://github.com/Hashtag-AMIN/hashtag-fuzz: hashtag-fuzz ni zana ya fuzzing iliyoundwa ili kujaribu na kupita WAFs na CDNs. Kwa kutumia vipengele vya hali ya juu kama vile User-Agent wa nasibu na thamani ya kichwa, ucheleweshaji wa nasibu, kushughulikia uhamasishaji wa nyuzi nyingi, kuchagua sehemu za orodha za maneno na mzunguko wa proxy wa Round Robin kwa kila sehemu, inatoa suluhisho thabiti kwa wataalamu wa usalama wanaolenga kubaini udhaifu katika programu za wavuti.