Rate Limit Bypass

使用Trickest轻松构建并由全球最先进的社区工具驱动的自动化工作流程。 立即获取访问权限：

All-in-One Offensive Security Platform | Trickest, Inc. | Trickesttrickest.com

速率限制绕过技术

探索类似的端点

应尝试对目标端点的变体进行暴力攻击，例如/api/v3/sign-up，包括/Sing-up，/SignUp，/singup，/api/v1/sign-up，/api/sign-up等替代选项。

在代码或参数中插入空白字符

将空白字节如%00，%0d%0a，%0d，%0a，%09，%0C，%20插入代码或参数中可能是一种有用的策略。例如，将参数调整为code=1234%0a可以通过输入的变化来延长尝试次数，例如向电子邮件地址添加换行符以绕过尝试限制。

通过标头操纵IP来源

修改标头以更改感知的IP来源可以帮助规避基于IP的速率限制。诸如X-Originating-IP，X-Forwarded-For，X-Remote-IP，X-Remote-Addr，X-Client-IP，X-Host，X-Forwared-Host等标头，包括使用多个X-Forwarded-For实例，可以调整以模拟来自不同IP的请求。

更改其他标头

建议更改其他请求标头，如用户代理和Cookie，因为这些也可以用于识别和跟踪请求模式。更改这些标头可以防止识别和跟踪请求者的活动。

利用 API 网关行为

一些 API 网关配置为基于端点和参数的组合应用速率限制。通过变化参数值或向请求添加非重要参数，可以绕过网关的速率限制逻辑，使每个请求看起来是独一无二的。例如 /resetpwd?someparam=1。

在每次尝试之前登录到您的帐户

在每次尝试之前登录到一个帐户，或每组尝试，可能会重置速率限制计数器。这在测试登录功能时特别有用。利用类似 Burp Suite 中的 Pitchfork 攻击工具，每隔几次尝试轮换凭据，并确保标记了跟随重定向，可以有效地重新启动速率限制计数器。

利用代理网络

部署代理网络以将请求分布到多个 IP 地址可以有效地绕过基于 IP 的速率限制。通过通过各种代理路由流量，每个请求看起来来自不同的源头，削弱速率限制的效果。

将攻击分散到不同帐户或会话中

如果目标系统根据每个帐户或每个会话应用速率限制，将攻击或测试分散到多个帐户或会话中可以帮助避免检测。这种方法需要管理多个身份或会话令牌，但可以有效地分发负载以保持在允许的限制范围内。