保护您的 Web 应用程序：速率限制和暴力攻击预防指南

如果您的应用程序包含登录、注册、密码重置/恢复、重新发送确认链接以及其他需要服务器请求的特定功能等基本功能，那么实施防止暴力攻击和在服务上产生大量负载的机制至关重要。如果没有此类机制，您的应用程序可能容易受到各种威胁，包括向用户发送过多的电子邮件/OTP，从而可能导致财务和声誉损失。

许多Web应用程序缺乏足够的速率限制措施，仅依赖于其业务逻辑施加的限制，例如基于支付模型限制请求数量。然而，某些应用程序确实包含速率限制，特别是对于登录尝试、注册和其他关键功能等操作。这些实现通常依赖于 X-Forwarded-For 标头来进行 IP 地址跟踪。

为了说明一个简单的例子，我在Flask上想出了这个代码片段

from flask import Flask, request, jsonify from flask_limiter import Limiter from flask_limiter.util import get_remote_address app = Flask(__name__) limiter = Limiter(    app,    key_func=get_remote_address,    storage_uri="memory://",) def get_ipaddr():    # Retrieve the client's IP address from the request    # X-Forwarded-For header is used to handle requests behind a proxy    ip_address = request.headers.get('X-Forwarded-For', request.remote_addr)    return ip_address # Rate limit to 5 requests per minute per IP @limiter.limit("5 per minute") @app.route('/') def index(): ip_address = get_ipaddr() return ip_address

在以下部分中，我将解释测试和尝试绕过应用程序中的速率限制的各种方法。

为了有效地测试您的应用程序是否存在此类漏洞，自动化是一个强大的工具。您可以通过使用脚本（例如 Python 中的脚本）（就像我经常做的那样）或使用 Burp Suite 等工具（顺便说一句，对于测试人员和网络安全专业人员来说是一个很棒的工具）来实现这一点。此外，像 Postman 这样的工具可以用来相对容易地实现自动化检查。

测试率限制

更改 X-Forwarded-For 标头中的 IP 值

X-Originating-IP: 127.0.0.1

在您发送的每个请求中使用不同的 IP 值。

使用双 X-Forwared-For 标头。

 X-Forwarded-For: X-Forwarded-For: 127.0.0.1

使用不同的标头尝试相同的操作。

 X-Originating-IP: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 X-Client-IP: 127.0.0.1 X-Host: 127.0.0.1 X-Forwared-Host: 127.0.0.1

更改其他标头

尝试更改用户代理、内容类型、接受语言等，或 cookie，任何可用作用户标识符的内容。

如果每个 IP 尝试 3 次的速率限制，则每 3 次尝试更改标头的 IP 值（或请求中的其他标头或参数）。

在params中添加空白字符

尝试添加到您发送的参数中

%00, %0d%0a, %0d, %0a, %09, %0C, %20

例如

param1=value1%%0d%0a param2=value2%00

例如，如果您请求 OTP 进行电子邮件验证，而您只有 3 次尝试，请使用这 3 次尝试

[email protected] [email protected]%00 [email protected]%0d%0a And so on

使用相似的端点

例如，如果您正在测试 /API/v1/signup 端点，请尝试对 /Signup、/SignUp、/sign-up 执行暴力破解。尝试将空白字符（从上面）添加到原始端点。

向请求的 API 端点添加额外参数

如果限制是针对 /api/v1/resetpassword 端点的请求，请尝试通过添加一些查询参数来强制执行 - 一旦达到速率限制，请尝试例如 /api/v1/resetpassword?param1=value1

登录很重要

应用程序可能存在逻辑缺陷 - 如果您在每次尝试/一系列尝试之前登录您的帐户，则您的 IP 的速率限制将被重置，并且您可以继续密码暴力攻击。如果您正在测试登录功能，则可以在 Burp Suit 中通过设置中的 Pitchfork 攻击（或者您可以为此编写自己的脚本）为每次尝试/一系列尝试执行此操作。

下面是我如何自动对 X-Forwarded-For 标头进行简单检查以获取 POW 的示例：

 from random import randint import requests import json url = "https://yourapp.net/api/v1/regconfirm-resend" data = {   "email": "[email protected]" } N = 100 def generate_random_ip():   return '.'.join(       str(randint(0, 255)) for _ in range(4)   ) for _ in range(N):   headers = {       "Host": "yourapp.net",       "Content-Type": "application/json",       "X-Forwarded-For": generate_random_ip()   }   response = requests.post(url, headers=headers, data=json.dumps(data))   print(headers)   print(f"Status Code: {response.status_code}, Response: {response.text}")

恢复原始访客IP

一个可能的解决方案可能是使用 Cloudflare 及其机制。详细的解释可以在这里找到restoring-original-visitor-ips 。我将仅简要概述其防御机制。

如果您使用的应用程序依赖于原始访问者的传入 IP 地址，则默认情况下会记录 Cloudflare IP 地址。原始访问者 IP 地址出现在名为 CF-Connecting-IP 的附加 HTTP 标头中。按照我们的网络服务器说明，您可以在源服务器上记录原始访问者 IP 地址。如果请求到达源服务器时此 HTTP 标头不可用，请检查您的转换规则和托管转换配置。

如果伪 IPv4 设置为覆盖标头 - Cloudflare 会使用伪 IPv4 地址覆盖现有的 Cf-Connecting-IP 和 X-Forwarded-For 标头，同时保留 CF-Connecting-IPv6 标头中的真实 IPv6 地址。

注意：请记住，在实施此类防御机制时，请执行彻底的测试。这种方法随后可能会应用于整个集群，并可能对某些不必要的功能和微服务产生不利影响。简而言之，在修复安全漏洞时要小心，因为它可能会影响整个应用程序。分析系统的哪个部分可能会受到负面影响，并在将更改发送到产品环境之前测试所有内容。

也发布在这里。