tags: Bypass_IP_based_login http_bruteforce X-Forwarded-For
Quando il server ti blocca i tentativi di accesso dopo qualche prova e la protezione è basata sui tentativi fatti da un indirizzo IP si può facilmente bypassare aggiungendo alla richiesta che viene fatta questa query X-Forwarded-For: 123.123.123.123 e per ogni tentativo cambiare l’indirizzo IP, lo si può automatizzare attraverso BurpSuite.
Manda la richiesta all’Intruder, dall’Intruder aggiungi all’header della richiesta X-Forwarded-For: 123.123.123.123 sotto per esempio al Content Type. Ora seleziona sia la sezione dell’utente o della password e la sezione dove è presente l’indirizzo IP dell’ X-Forwarded, selezione l’attacco Pitch Fork e metti come liste la lista con username o password e la lista con gli indirizzi IP, lancia l’attacco e cerca differenze fra i risultati.
