ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【网络安全】大小写绕过速率限定 [打印本页]
作者: 大连密封材料    时间: 2024-8-2 15:10
标题: 【网络安全】大小写绕过速率限定
未经允许,不得转载。
  
  
正文

某目标存在登录页面,对登录处进行爆破,但在我发出 17 次请求后就屏蔽了我。
我尝试了多种方法绕过速率限定,比方:
  1. X-Originating-IP:127.0.0.1
  2. X-Forwarded-For:127.0.0.1
  3. X-Remote-IP:127.0.0.1
  4. X-Remote-Addr:127.0.0.1
  5. X-Client-IP:127.0.0.1
  6. X-Host:127.0.0.1
  7. X-Forwared-Host:127.0.0.1
复制代码
我也尝试注入空字节,比方%00, %0d%0a, %0d, %0a, %09, %0C等,但不起作用。
那么,大小写是否能够绕过速率限定呢?
通过测试,我发现,在请求包中将/api/v3/login修改为/api/v3/logiN,即可实现无穷定爆破。
复现过程如下:
1、进入登录页面:https://app.target.com/signin?ga=xxxx
2、输入精确的电子邮件(用户名)并输入错误的暗码
3、使用 burp suite 捕获请求并发送给 intruder。修改POST /auth/identity/callbac[k] HTTP/1.1 ----→POST /auth/identity/callbac[K] HTTP/1.1
4、开始攻击,发现应用步伐不存在对我们的速率限定。
5、攻击完成后,

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4