Rate Limiting — Bypass et abus de limitation
★★★★★
Pourquoi ça compte
L'absence ou la faiblesse du rate limiting permet brute force, énumération, scraping et déni de service applicatif. En pentest API, on teste à la fois la présence du contrôle et ses contournements.
Techniques de contournement
# Rotation d en-têtes d IP (si le compteur s y fie naïvement)
X-Forwarded-For: 1.2.3.4
X-Real-IP: 1.2.3.4
X-Originating-IP: 1.2.3.4
# Variation de casse / chemin
/API/login vs /api/login
/login%00
# Parallélisme / race pour passer sous la fenêtre
ffuf -w wl.txt -u https://t/api?x=FUZZ -rate 0 -t 100 Défenses
Limiter par identité et par IP côté serveur (jamais sur un en-tête client falsifiable), back-off exponentiel, CAPTCHA après seuil, quotas API par clé, et monitoring des pics anormaux.