Rate Limiting — Bypass et abus de limitation

API Bypass

Pourquoi ça compte

L'absence ou la faiblesse du rate limiting permet brute force, énumération, scraping et déni de service applicatif. En pentest API, on teste à la fois la présence du contrôle et ses contournements.

Techniques de contournement

# Rotation d en-têtes d IP (si le compteur s y fie naïvement)
X-Forwarded-For: 1.2.3.4
X-Real-IP: 1.2.3.4
X-Originating-IP: 1.2.3.4

# Variation de casse / chemin
/API/login  vs  /api/login
/login%00

# Parallélisme / race pour passer sous la fenêtre
ffuf -w wl.txt -u https://t/api?x=FUZZ -rate 0 -t 100

Défenses

Limiter par identité et par IP côté serveur (jamais sur un en-tête client falsifiable), back-off exponentiel, CAPTCHA après seuil, quotas API par clé, et monitoring des pics anormaux.