Se sua aplicação inclui recursos fundamentais como login, registro, redefinição/recuperação de senha, reenvio de links de confirmação e outras funcionalidades específicas que exigem solicitações do servidor, é crucial implementar mecanismos contra ataques de força bruta e a geração de uma carga substancial em seu serviço. Sem esses mecanismos, seu aplicativo pode ficar vulnerável a diversas ameaças, incluindo o envio de um número excessivo de e-mails/OTPs aos usuários, o que pode levar a danos financeiros e à reputação.  Muitas   carecem de medidas adequadas de limitação de taxas, baseando-se apenas nas limitações impostas pela sua lógica de negócio, tais como a restrição do número de pedidos com base num modelo de pagamento. Alguns aplicativos, no entanto, incorporam limites de taxa, especialmente para operações como tentativas de login, registro e outras funcionalidades críticas. Essas implementações geralmente dependem do cabeçalho X-Forwarded-For para rastreamento de endereços IP. aplicações web  Para ilustrar um exemplo simples, criei este trecho de código no  Flask   from flask import Flask, request, jsonify from flask_limiter import Limiter from flask_limiter.util import get_remote_address app = Flask(__name__) limiter = Limiter(    app,    key_func=get_remote_address,    storage_uri="memory://",) def get_ipaddr():    # Retrieve the client's IP address from the request    # X-Forwarded-For header is used to handle requests behind a proxy    ip_address = request.headers.get('X-Forwarded-For', request.remote_addr)    return ip_address # Rate limit to 5 requests per minute per IP @limiter.limit("5 per minute") @app.route('/') def index(): ip_address = get_ipaddr() return ip_address  Nas seções a seguir, explicarei várias abordagens para testar e tentar contornar os limites de taxa em seu aplicativo.  Para testar seu aplicativo com eficiência quanto a esse tipo de vulnerabilidade, a automação é uma ferramenta poderosa. Você pode conseguir isso empregando scripts, como aqueles em Python (como costumo fazer), ou usando ferramentas como Burp Suite (aliás, uma ótima ferramenta para testadores e profissionais de segurança cibernética). Além disso, ferramentas como o Postman podem ser usadas para automatizar verificações com relativa facilidade.  Limite de taxa de teste  Alterando o valor IP no cabeçalho X-Forwarded-For   X-Originating-IP: 127.0.0.1  Use valores de IP diferentes em cada solicitação enviada.  Use o cabeçalho duplo X-Forwared-For.   X-Forwarded-For: X-Forwarded-For: 127.0.0.1  Tente o mesmo com cabeçalhos diferentes.   X-Originating-IP: 127.0.0.1 X-Remote-IP: 127.0.0.1 X-Remote-Addr: 127.0.0.1 X-Client-IP: 127.0.0.1 X-Host: 127.0.0.1 X-Forwared-Host: 127.0.0.1  Alterar outros cabeçalhos  Tente alterar o agente do usuário, tipo de conteúdo, idioma de aceitação, etc., ou cookies, qualquer coisa que possa ser usada como identificador de usuário.  Se houver um limite de taxa de 3 tentativas por IP, a cada três tentativas, altere o valor IP do cabeçalho (ou outros cabeçalhos ou parâmetros em suas solicitações).  Adicione caracteres em branco nos parâmetros  Tente adicionar aos parâmetros que você envia   %00, %0d%0a, %0d, %0a, %09, %0C, %20  Por exemplo   param1=value1%%0d%0a param2=value2%00  Por exemplo, se você estiver solicitando OTP para verificação de e-mail e tiver apenas 3 tentativas, use as 3 tentativas para   example@email.com example@email.com%00 example@email.com%0d%0a And so on  Use endpoints semelhantes  Se você estiver testando, por exemplo, o endpoint /API/v1/signup, tente executar força bruta em /Signup, /SignUp, /sign-up. Tente adicionar caracteres em branco (acima) aos pontos de extremidade originais.  Adicionando parâmetros extras ao endpoint de API solicitado  Se o limite estiver nas solicitações do endpoint /api/v1/resetpassword, tente forçá-lo adicionando alguns parâmetros de consulta - quando o limite de taxa for atingido, tente, por exemplo, /api/v1/resetpassword?param1=value1  Logins são importantes  Pode ser que um aplicativo tenha uma lógica falha - se você fizer login em sua conta antes de cada tentativa/série de tentativas, o limite de taxa será redefinido para seu IP e você poderá continuar seu ataque de força bruta de senha. Se estiver testando um recurso de login, você pode fazer isso no Burp Suit com um ataque Pitchfork nas configurações (ou pode escrever seu próprio script para isso) para cada tentativa/série de tentativas.  Aqui está meu exemplo de como automatizei uma verificação simples do cabeçalho X-Forwarded-For apenas para obter um POW:   from random import randint import requests import json url = "https://yourapp.net/api/v1/regconfirm-resend" data = {   "email": "yourtest@mail.com" } N = 100 def generate_random_ip():   return '.'.join(       str(randint(0, 255)) for _ in range(4)   ) for _ in range(N):   headers = {       "Host": "yourapp.net",       "Content-Type": "application/json",       "X-Forwarded-For": generate_random_ip()   }   response = requests.post(url, headers=headers, data=json.dumps(data))   print(headers)   print(f"Status Code: {response.status_code}, Response: {response.text}")  Restaurando IPs de visitantes originais  Uma possível solução poderia ser a utilização da Cloudflare e seus mecanismos. Uma explicação detalhada pode ser encontrada aqui   . Fornecerei apenas uma breve visão geral dos seus mecanismos de defesa. restaurando-original-visitor-ips  Se você usar aplicativos que dependem do endereço IP de entrada do visitante original, um endereço IP da Cloudflare será registrado por padrão. O endereço IP do visitante original aparece em um cabeçalho HTTP anexado chamado CF-Connecting-IP. Seguindo as instruções do nosso servidor web, você pode registrar o endereço IP do visitante original em seu servidor de origem. Se esse cabeçalho HTTP não estiver disponível quando as solicitações chegarem ao servidor de origem, verifique a configuração das regras de transformação e das transformações gerenciadas.  Se Pseudo IPv4 estiver definido como Overwrite Headers - a Cloudflare substitui os cabeçalhos Cf-Connecting-IP e X-Forwarded-For existentes por um endereço pseudo IPv4, preservando o endereço IPv6 real no cabeçalho CF-Connecting-IPv6.    Lembre-se, ao implementar tal mecanismo de defesa, realize testes completos. Esta abordagem pode ser posteriormente aplicada a todo o cluster e pode afetar negativamente determinadas funções e microsserviços onde for desnecessário. Resumindo, ao corrigir uma violação de segurança, seja cauteloso, pois isso pode afetar potencialmente todo o aplicativo. Analise qual parte do seu sistema pode ser afetada negativamente e teste tudo antes de enviar as alterações para o ambiente de produção. NOTA:   Também publicado   . aqui

This story contains new, firsthand information uncovered by the writer.

About Me

Read My Articles

Hire Me

Este áudio é produzido no idioma original da história!

Muito longo; Para ler

Download free Tech Leaders Productivity Report!

Defendendo seu aplicativo da Web: um guia para limitação de taxa e prevenção de ataques de força bruta

About Author

COMENTARIOS

Rótulos

ESTE ARTIGO FOI APRESENTADO EM

Related Stories

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

Criando produtos criptográficos centrados no usuário: a importância do feedback do cliente

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Telegram: a ponte da Crypto Island para o continente

Quer ganhar um concurso de redação do HackerNoon? Aqui está o que os vencedores do concurso #crypto-api recomendam

Criando produtos criptográficos centrados no usuário: a importância do feedback do cliente

Toque para ganhar: Telegram pode integrar os próximos 10 bilhões de usuários criptográficos antes de Solana

Telegram: a ponte da Crypto Island para o continente

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps