1.自定义请求方法
如果请求GET 尝试将其更改为POST、PUT 等,
如果你想绕过 API 的请求限制,尝试HEAD方法。
2.向请求头添加欺骗IP
X-Forwarded: 127.0.0.1
X-Forwarded-By: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Forwarded-For-Original: 127.0.0.1
X-Forwarder-For: 127.0.0.1
X-Forward-For: 127.0.0.1
Forwarded-For: 127.0.0.1
Forwarded-For-Ip: 127.0.0.1
X-Custom-IP-Authorization: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
或者使用两个或以上参数
X-Forwarded-For:
X-Forwarded-For: IP
3. 使用特殊字符绕过限制
在电子邮件末尾添加空字节 ( %00 ) 有时可以绕过限制。
尝试在电子邮件后添加空格字符。(未编码)
一些有助于绕过速率限制的常用字符:%0d、%2e、%09、%20、%0、%00、%0d%0a、%0a、%0C
比如[email protected],a&password=password123
在 api 地址末尾添加斜杠(/)也可以绕过限制。
domain.com/v1/login->domain.com/v1/login/
4.使用 IP 轮换 Burp 扩展
如果限制每个 IP 尝试 10 次,则每 10 次尝试都会更改请求头内的 IP
Burp插件https://github.com/PortSwigger/ip-rotate
5.如果遇到的是验证码时
尝试从请求正文中删除验证码参数
尝试添加一些与参数长度相同的字符串
保持Intercept打开,向Intruder发送请求。有时,它可能会产生意想不到的结果
6. 使用 Turbo Intruder
https://blog.csdn.net/weixin_50464560/article/details/120351881
https://github.com/PortSwigger/turbo-intruder/releases/download/1.0.12/turbo-intruder-all.jar
7. 使用忘记密码页面
有时忘记密码页面会解锁用户帐户。当用户帐户由于登录次数过多锁定时,攻击者可以通过点击忘记密码发送邮件后解锁用户帐户来继续他的暴力攻击。
8. 检查 Cookie 或 CSRF 值
网站使用 cookie 或 csrf 令牌来验证每个请求。因此可以尝试删除这些值并尝试绕过限制,或者可以自己生成这些令牌并使用来测试暴力攻击。
https://www.cyberick.com/post/tricks-to-bypass-rate-limiting-on-login-page-bug-bounty-tipshttps://github.com/KathanP19/HowToHunt/blob/master/Rate_limit/RateLimitBypass.md
***
有朋友需要github和wiki的pdf版本,现使用gitbook试用版的导出pdf功能导出了一份,有些图片加载不了。
把之前用docsify搭建的wiki也打包了一下,有需要的自行搭建即可。
如果有朋友通过域名访问wiki有问题的话,可以访问
https://heresecurity.gitbook.iohttps://www.heresecurity.wikihttps://github.com/xiaoy-sec/Pentest_Note
「spaces_KWBryqLddJpkYU3sl...ef5c1a189_export.pdf」https://www.aliyundrive.com/s/FHHsdHopdS9 提取码: 49bw 点击链接保存,或者复制本段内容,打开「阿里云盘」APP ,无需下载极速在线查看,视频原画倍速播放。
docs.zip:
https://url07.ctfile.com/f/37178607-591502780-8db698?p=9254 (访问密码: 9254)
转自原文链接:https://mp.weixin.qq.com/s/3rvn9OJZj7V2J2Lm5MRIlw
声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后果.
赠书福利
《Web安全攻防从入门到精通》
内容简介
我们都生活在移动互联网时代,个人信息、企业信息、政府信息都暴露在互联网之下。一旦有居心叵测的人攻破网络,会造成无法估量的损失。《Web安全攻防从入门到精通》结合红日安全团队的多年经验,深入讲解Web安全的相关知识。
全书共有21个章节,第1章到第6章讲解Web攻防入门知识,包括HTTP基本概念、工具实战、信息收集、靶场搭建等内容;第7章到第20章讲解Web渗透测试的14个典型漏洞案例,包括SQL注入、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件上传、业务漏洞等内容;第21章是项目实战,主要模拟真实Web安全评估项目。
《Web安全攻防从入门到精通》案例丰富,代码详实,实战性强,适合广大Web程序员、测试工程师、安全运营人员学习使用,也适合安全相关的培训、教育机构作为教材使用。
赠书规则
为了感谢大家一直以来的关注与支持,会有三本书籍免费赠送
。
规则如下:
1. 本文末点‘在看’,不需要转发朋友圈,点个‘在看’就可以。
2. 私聊文末公众号发送“赠书”即可扫描参与抽奖,注意看是发送暗号“赠书”。
3. 中奖者不满足条件1,视为放弃中奖资格。
4. 活动截止时间为10月13日 08:00点,到时候还要中奖者及时联系号主发送你的中奖核验二维码、收货地址、姓名、手机号以及想要的书籍,好给您发送书籍哦!24小时内未联系号主视为自动放弃!骗书行为出版社会永久拉黑!
原文始发于微信公众号(系统安全运维):绕过登录次数限制的技巧【文末新书赠送】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论