1.自定义请求方法
如果请求GET 尝试将其更改为POST、PUT 等,
如果你想绕过 API 的请求限制,尝试HEAD方法。
2.向请求头添加欺骗IP
X-Forwarded: 127.0.0.1
X-Forwarded-By: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Forwarded-For-Original: 127.0.0.1
X-Forwarder-For: 127.0.0.1
X-Forward-For: 127.0.0.1
Forwarded-For: 127.0.0.1
Forwarded-For-Ip: 127.0.0.1
X-Custom-IP-Authorization: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
或者使用两个或以上参数
X-Forwarded-For:
X-Forwarded-For: IP
3. 使用特殊字符绕过限制
在电子邮件末尾添加空字节 ( %00 ) 有时可以绕过限制。
尝试在电子邮件后添加空格字符。(未编码)
一些有助于绕过速率限制的常用字符:%0d、%2e、%09、%20、%0、%00、%0d%0a、%0a、%0C
比如[email protected],a&password=password123
在 api 地址末尾添加斜杠(/)也可以绕过限制。
domain.com/v1/login->domain.com/v1/login/
4.使用 IP 轮换 Burp 扩展
如果限制每个 IP 尝试 10 次,则每 10 次尝试都会更改请求头内的 IP
Burp插件https://github.com/PortSwigger/ip-rotate
5.如果遇到的是验证码时
尝试从请求正文中删除验证码参数
尝试添加一些与参数长度相同的字符串
保持Intercept打开,向Intruder发送请求。有时,它可能会产生意想不到的结果
6. 使用 Turbo Intruder
https://blog.csdn.net/weixin_50464560/article/details/120351881
https://github.com/PortSwigger/turbo-intruder/releases/download/1.0.12/turbo-intruder-all.jar
7. 使用忘记密码页面
有时忘记密码页面会解锁用户帐户。当用户帐户由于登录次数过多锁定时,攻击者可以通过点击忘记密码发送邮件后解锁用户帐户来继续他的暴力攻击。
8. 检查 Cookie 或 CSRF 值
网站使用 cookie 或 csrf 令牌来验证每个请求。因此可以尝试删除这些值并尝试绕过限制,或者可以自己生成这些令牌并使用来测试暴力攻击。
https://www.cyberick.com/post/tricks-to-bypass-rate-limiting-on-login-page-bug-bounty-tips
https://github.com/KathanP19/HowToHunt/blob/master/Rate_limit/RateLimitBypass.md
***
有朋友需要github和wiki的pdf版本,现使用gitbook试用版的导出pdf功能导出了一份,有些图片加载不了。
把之前用docsify搭建的wiki也打包了一下,有需要的自行搭建即可。
如果有朋友通过域名访问wiki有问题的话,可以访问
https://heresecurity.gitbook.io
https://www.heresecurity.wiki
https://github.com/xiaoy-sec/Pentest_Note
「spaces_KWBryqLddJpkYU3sl...ef5c1a189_export.pdf」https://www.aliyundrive.com/s/FHHsdHopdS9 提取码: 49bw 点击链接保存,或者复制本段内容,打开「阿里云盘」APP ,无需下载极速在线查看,视频原画倍速播放。
docs.zip: https://url07.ctfile.com/f/37178607-591502780-8db698?p=9254 (访问密码: 9254)