Уязвимость ограничения скорости в веб-приложении.
Алгоритм ограничения скорости используется для проверки необходимости ограничения сеанса пользователя на основе информации в кэше сеанса.
В случае, если клиент сделал много запросов в течение заданного периода времени, HTTP-сервер может ответить с кодом состояния 429: Too Many Requests.
Попробуем проверить, уязвим ли сайт для ограничения скорости
Перейдите на страницу входа и введите имя пользователя и перехватите запрос в Burp Suite.
Перейдите на вкладку позиций и добавьте в позицию параметр пароля.
Перейдите на вкладку Payload и загрузите список паролей, включая правильный пароль.
Затем запустите Attack, Burp Suite отправляет непрерывные запросы на веб-сайт один за другим и показывает код состояния запросов, которые мы сделали.
если веб-сайт принимает запросы после более чем 20 неправильных паролей, тогда веб-сайт уязвим для ограничения скорости.
Смотрите видео ниже для POC