যদি আপনার অ্যাপ্লিকেশনটিতে লগইন, রেজিস্ট্রেশন, পাসওয়ার্ড রিসেট/পুনরুদ্ধারের মতো মৌলিক বৈশিষ্ট্যগুলি অন্তর্ভুক্ত থাকে, নিশ্চিতকরণ লিঙ্কগুলি পুনরায় পাঠান এবং সার্ভারের অনুরোধের প্রয়োজনে অন্যান্য নির্দিষ্ট কার্যকারিতাগুলি প্রয়োজন, তাহলে ব্রুট ফোর্স অ্যাটাক এবং আপনার পরিষেবাতে যথেষ্ট লোড তৈরির বিরুদ্ধে ব্যবস্থা বাস্তবায়ন করা অত্যন্ত গুরুত্বপূর্ণ৷ এই ধরনের ব্যবস্থা না থাকলে, আপনার অ্যাপ্লিকেশন ব্যবহারকারীদের অত্যধিক সংখ্যক ইমেল/OTP পাঠানো সহ বিভিন্ন হুমকির জন্য ঝুঁকিপূর্ণ হতে পারে, যা সম্ভাব্য আর্থিক এবং সুনামগত ক্ষতির দিকে পরিচালিত করে।  অনেক   পর্যাপ্ত হার-সীমিত ব্যবস্থার অভাব রয়েছে, শুধুমাত্র তাদের ব্যবসায়িক যুক্তি দ্বারা আরোপিত সীমাবদ্ধতার উপর নির্ভর করে, যেমন একটি পেমেন্ট মডেলের উপর ভিত্তি করে অনুরোধের সংখ্যা সীমিত করা। কিছু অ্যাপ্লিকেশন, তবে, রেট সীমা অন্তর্ভুক্ত করে, বিশেষ করে লগইন প্রচেষ্টা, নিবন্ধন এবং অন্যান্য গুরুত্বপূর্ণ কার্যকারিতার মতো ক্রিয়াকলাপের জন্য। এই বাস্তবায়নগুলি প্রায়শই আইপি ঠিকানা ট্র্যাকিংয়ের জন্য X-ফরওয়ার্ড-ফর শিরোনামের উপর নির্ভর করে। ওয়েব অ্যাপ্লিকেশনের  একটি সাধারণ উদাহরণ ব্যাখ্যা করার জন্য, আমি   এই কোড স্নিপেটটি নিয়ে এসেছি ফ্লাস্কে   from flask import Flask, request, jsonify from flask_limiter import Limiter from flask_limiter.util import get_remote_address app = Flask(__name__) limiter = Limiter(    app,    key_func=get_remote_address,    storage_uri="memory://",) def get_ipaddr():    # Retrieve the client's IP address from the request    # X-Forwarded-For header is used to handle requests behind a proxy    ip_address = request.headers.get('X-Forwarded-For', request.remote_addr)    return ip_address # Rate limit to 5 requests per minute per IP @limiter.limit("5 per minute") @app.route('/') def index(): ip_address = get_ipaddr() return ip_address  নিম্নলিখিত বিভাগগুলিতে, আমি আপনার আবেদনের হার সীমা বাইপাস করার পরীক্ষা এবং চেষ্টা করার বিভিন্ন পদ্ধতির ব্যাখ্যা করব।  এই ধরনের দুর্বলতার জন্য আপনার অ্যাপটিকে দক্ষতার সাথে পরীক্ষা করতে, অটোমেশন একটি শক্তিশালী টুল। আপনি স্ক্রিপ্ট ব্যবহার করে এটি অর্জন করতে পারেন, যেমন পাইথনে (যেমন আমি প্রায়শই করি), বা বার্প স্যুটের মতো সরঞ্জাম ব্যবহার করে (বিটিডব্লিউ পরীক্ষক এবং সাইবার নিরাপত্তা পেশাদারদের জন্য একটি দুর্দান্ত সরঞ্জাম)। এছাড়াও, পোস্টম্যানের মতো সরঞ্জামগুলি তুলনামূলকভাবে সহজেই চেকগুলি স্বয়ংক্রিয় করতে ব্যবহার করা যেতে পারে।  পরীক্ষার হার সীমা  X-ফরোয়ার্ডেড-ফর হেডারে আইপি মান পরিবর্তন করা হচ্ছে   X-Originating-IP: 127.0.0.1  আপনার পাঠানো প্রতিটি অনুরোধে বিভিন্ন আইপি মান ব্যবহার করুন।  ডবল এক্স-ফরওয়ারড-ফর হেডার ব্যবহার করুন।   X-Forwarded-For: X-Forwarded-For: 127.0.0.1  বিভিন্ন শিরোনাম দিয়ে একই চেষ্টা করুন.   X-Originating-IP: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 X-Client-IP: 127.0.0.1 X-Host: 127.0.0.1 X-Forwared-Host: 127.0.0.1  অন্যান্য শিরোনাম পরিবর্তন করুন  ব্যবহারকারী-এজেন্ট, বিষয়বস্তু-প্রকার, গ্রহণ-ভাষা, ইত্যাদি বা কুকিজ পরিবর্তন করার চেষ্টা করুন, যা ব্যবহারকারী শনাক্তকারী হিসাবে ব্যবহার করা যেতে পারে।  যদি প্রতি আইপিতে 3টি চেষ্টা করার হারের সীমা থাকে, প্রতি তিনটি চেষ্টা করে, হেডারের আইপি মান পরিবর্তন করুন (বা আপনার অনুরোধে অন্যান্য হেডার বা প্যারাম)।  প্যারামে ফাঁকা অক্ষর যোগ করুন  আপনার পাঠানো প্যারামে যোগ করার চেষ্টা করুন   %00, %0d%0a, %0d, %0a, %09, %0C, %20  উদাহরণ স্বরূপ   param1=value1%%0d%0a param2=value2%00  উদাহরণস্বরূপ, আপনি যদি ইমেল যাচাইকরণের জন্য ওটিপির অনুরোধ করেন এবং আপনার কাছে মাত্র 3টি চেষ্টা থাকে, তাহলে 3টি চেষ্টা ব্যবহার করুন   example@email.com example@email.com%00 example@email.com%0d%0a And so on  অনুরূপ শেষ পয়েন্ট ব্যবহার করুন  আপনি যদি পরীক্ষা করছেন, উদাহরণস্বরূপ,/API/v1/signup endpoint, তাহলে /Signup, /SignUp, /sign-up এ ব্রুট-ফোর্স করার চেষ্টা করুন। মূল শেষ বিন্দুতে ফাঁকা অক্ষর (উপরের থেকে) যোগ করার চেষ্টা করুন।  অনুরোধ করা API এন্ডপয়েন্টে অতিরিক্ত প্যারাম যোগ করা হচ্ছে  যদি সীমাটি /api/v1/resetpassword এন্ডপয়েন্টের অনুরোধে থাকে, তাহলে কিছু ক্যোয়ারী প্যারাম যোগ করে এটিকে জোরপূর্বক করার চেষ্টা করুন - একবার হারের সীমা পৌঁছে গেলে, চেষ্টা করুন, উদাহরণস্বরূপ, /api/v1/resetpassword?param1=value1  লগইন ব্যাপার  এটি এমন হতে পারে যে একটি অ্যাপের যুক্তিযুক্ত ত্রুটি রয়েছে - আপনি যদি প্রতিটি প্রচেষ্টা/প্রচেষ্টার সিরিজের আগে আপনার অ্যাকাউন্টে লগ ইন করেন, তাহলে আপনার আইপির জন্য হারের সীমা রিসেট করা হবে এবং আপনি আপনার পাসওয়ার্ড ব্রুট-ফোর্স আক্রমণ চালিয়ে যেতে পারেন। আপনি যদি একটি লগইন বৈশিষ্ট্য পরীক্ষা করছেন, আপনি প্রতিটি প্রচেষ্টা/সিরিজের প্রচেষ্টার জন্য সেটিংসে একটি Pitchfork আক্রমণের সাথে Burp Suit-এ এটি করতে পারেন (বা আপনি এটির জন্য নিজের স্ক্রিপ্ট লিখতে পারেন)।  শুধুমাত্র একটি POW পাওয়ার জন্য X-Forwarded-For শিরোলেখের জন্য আমি কীভাবে একটি সাধারণ চেক স্বয়ংক্রিয় করেছি তার উদাহরণ এখানে দেওয়া হল:   from random import randint import requests import json url = "https://yourapp.net/api/v1/regconfirm-resend" data = {   "email": "yourtest@mail.com" } N = 100 def generate_random_ip():   return '.'.join(       str(randint(0, 255)) for _ in range(4)   ) for _ in range(N):   headers = {       "Host": "yourapp.net",       "Content-Type": "application/json",       "X-Forwarded-For": generate_random_ip()   }   response = requests.post(url, headers=headers, data=json.dumps(data))   print(headers)   print(f"Status Code: {response.status_code}, Response: {response.text}")  আসল ভিজিটর আইপি পুনরুদ্ধার করা হচ্ছে  একটি সম্ভাব্য সমাধান ক্লাউডফ্লেয়ার এবং এর মেকানিজমের ব্যবহার হতে পারে। একটি বিশদ ব্যাখ্যা এখানে পাওয়া যাবে   । আমি এর প্রতিরক্ষা ব্যবস্থার শুধুমাত্র একটি সংক্ষিপ্ত বিবরণ প্রদান করব। পুনরুদ্ধার-অরিজিনাল-ভিজিটর-আইপিএস  আপনি যদি এমন অ্যাপ্লিকেশন ব্যবহার করেন যা আসল ভিজিটরের আগত আইপি ঠিকানার উপর নির্ভর করে, একটি ক্লাউডফ্লেয়ার আইপি ঠিকানা ডিফল্টরূপে লগ করা হয়। আসল ভিজিটর আইপি অ্যাড্রেস CF-Connecting-IP নামক একটি সংযুক্ত HTTP হেডারে প্রদর্শিত হয়। আমাদের ওয়েব সার্ভার নির্দেশাবলী অনুসরণ করে, আপনি আপনার মূল সার্ভারে আসল ভিজিটর আইপি ঠিকানা লগ করতে পারেন। অনুরোধগুলি আপনার মূল সার্ভারে পৌঁছানোর সময় এই HTTP শিরোনামটি উপলব্ধ না হলে, আপনার ট্রান্সফর্ম নিয়ম এবং পরিচালিত ট্রান্সফর্ম কনফিগারেশন পরীক্ষা করুন।  যদি Pseudo IPv4 ওভাররাইট হেডারে সেট করা থাকে - Cloudflare CF-Connecting-IPv6 হেডারে আসল IPv6 ঠিকানা সংরক্ষণ করার সময় একটি ছদ্ম IPv4 ঠিকানা সহ বিদ্যমান Cf-Connecting-IP এবং X-Forwarded-For হেডারগুলিকে ওভাররাইট করে।    মনে রাখবেন, এই জাতীয় প্রতিরক্ষা ব্যবস্থা প্রয়োগ করার সময়, পুঙ্খানুপুঙ্খ পরীক্ষা করুন। এই পদ্ধতিটি পরবর্তীতে সমগ্র ক্লাস্টারে প্রয়োগ করা হতে পারে এবং এটি অপ্রয়োজনীয় কিছু ফাংশন এবং মাইক্রোসার্ভিসে বিরূপ প্রভাব ফেলতে পারে। সংক্ষেপে, নিরাপত্তা লঙ্ঘন ঠিক করার সময়, সতর্ক থাকুন, কারণ এটি সম্ভাব্যভাবে সমগ্র অ্যাপ্লিকেশনকে প্রভাবিত করতে পারে। আপনার সিস্টেমের কোন অংশ নেতিবাচকভাবে প্রভাবিত হতে পারে তা বিশ্লেষণ করুন এবং prod env এ শিপিং পরিবর্তনের আগে সবকিছু পরীক্ষা করুন। দ্রষ্টব্য:   এছাড়াও   প্রকাশিত. এখানে

This story contains new, firsthand information uncovered by the writer.

About Me

Read My Articles

Hire Me

গল্পের মূল ভাষায় এই অডিও তৈরি!

অতিদীর্ঘ; পড়তে

CTA: Download the FREE AI Productivity Shift report

আপনার ওয়েব অ্যাপকে রক্ষা করা: রেট লিমিটিং এবং ব্রুট ফোর্স অ্যাটাক প্রতিরোধের জন্য একটি নির্দেশিকা

About Author

মন্তব্য

আসে ট্যাগ

এই নিবন্ধটি উপস্থাপন করা হয়েছে

Related Stories

এই 18টি ডেভেলপার টুল 🚀🔥 দিয়ে আপনার উৎপাদনশীলতা বাড়ান

ফোরাম থেকে ফিড পর্যন্ত: কীভাবে সোশ্যাল মিডিয়া অ্যালগরিদম ডিজিটাল ইন্টারঅ্যাকশনকে আকার দেয়

ক্রিপ্টো গ্রোথ: কার্যকরী ব্যবহারকারী ব্যক্তিত্ব তৈরি করা

বোল্টজম্যান ব্রেন থিওরির একটি সংক্ষিপ্ত ভূমিকা

এই 18টি ডেভেলপার টুল 🚀🔥 দিয়ে আপনার উৎপাদনশীলতা বাড়ান

ফোরাম থেকে ফিড পর্যন্ত: কীভাবে সোশ্যাল মিডিয়া অ্যালগরিদম ডিজিটাল ইন্টারঅ্যাকশনকে আকার দেয়

ক্রিপ্টো গ্রোথ: কার্যকরী ব্যবহারকারী ব্যক্তিত্ব তৈরি করা

বোল্টজম্যান ব্রেন থিওরির একটি সংক্ষিপ্ত ভূমিকা

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps