【网络安全】大小写绕过速率限制

未经许可，不得转载。

正文

某目标存在登录页面，对登录处进行爆破，但在我发出 17 次请求后就屏蔽了我。

我尝试了多种方法绕过速率限制，例如：

X-Originating-IP：127.0.0.1 
X-Forwarded-For：127.0.0.1 
X-Remote-IP：127.0.0.1 
X-Remote-Addr：127.0.0.1 
X-Client-IP：127.0.0.1 
X-Host：127.0.0.1 
X-Forwared-Host：127.0.0.1

我也尝试注入空字节，例如%00, %0d%0a, %0d, %0a, %09, %0C等，但不起作用。

那么，大小写是否能够绕过速率限制呢？

通过测试，我发现，在请求包中将/api/v3/login修改为/api/v3/logiN，即可实现无限制爆破。

复现过程如下：

1、进入登录页面：https://app.target.com/signin?ga=xxxx

2、输入正确的电子邮件（用户名）并输入错误的密码

3、使用 burp suite 捕获请求并发送给 intruder。修改POST /auth/identity/callbac[k] HTTP/1.1 ----→POST /auth/identity/callbac[K] HTTP/1.1

4、开始攻击，发现应用程序不存在对我们的速率限制。

5、攻击完成后，所有请求都是 302，但只有一个请求是 200，这意味着 200 是正确