记一次赏金1800美金的绕过速率限制漏洞挖掘

文章预览

记一次赏金1800美金的绕过速率限制漏洞挖掘 这是我关于绕过速率限制的一篇文章 我一直在努力关注速率限制及其安全机制。我已经阅读了很多关于绕过速率限制的文章，并在我的清单中收集了所有方法。 他们是如何实施限速安全机制？ 在他们的任何端点上，有两个负责防止速率限制攻击。 X-Recaptcha-Token header X-Security-Token header 因此，这个 X-Recaptcha-Token header由验证码令牌组成，X-Security-Token 由一个 long 值组成，每次发出新请求时，这两个参数的值都会发生变化。 所以很可能，我们甚至不能发送超过 1 次相同的请求。 因此，如果我删除了“X-Recaptcha-Token”，它会显示一个错误“captcha token invalid or not found”。 这就是他们强大的速率限制安全机制。 如何绕过 在查看了一些返回包后，我发现有一个Header“X-Disabled-Recaptcha:0”。 我立即从请求中删除了之 ………………………………