Уязвимость ограничения скорости в веб-приложении.

Уязвимость ограничения скорости в веб-приложении.

Алгоритм ограничения скорости используется для проверки необходимости ограничения сеанса пользователя на основе информации в кэше сеанса.

В случае, если клиент сделал много запросов в течение заданного периода времени, HTTP-сервер может ответить с кодом состояния 429: Too Many Requests.

Попробуем проверить, уязвим ли сайт для ограничения скорости

Перейдите на страницу входа и введите имя пользователя и перехватите запрос в Burp Suite.

Перейдите на вкладку позиций и добавьте в позицию параметр пароля.

Перейдите на вкладку Payload и загрузите список паролей, включая правильный пароль.

Затем запустите Attack, Burp Suite отправляет непрерывные запросы на веб-сайт один за другим и показывает код состояния запросов, которые мы сделали.

если веб-сайт принимает запросы после более чем 20 неправильных паролей, тогда веб-сайт уязвим для ограничения скорости.

Смотрите видео ниже для POC