Rate limit adalah jumlah maksimal suatu request baik post atau get pada sebuah url atau endpoint yang diizinkan oleh developer website. Tujuan dari adanya pembatasan jumlah rate limit sendiri adalah mencegah serangan yang memanfaatkan request beruntun seperti bruteforce, Dos attack atau bahkan IDOR (Insecure Direct Object References). Ketika developer lupa memberi pembatasan terhadap suatu end point maka bug yang dihasilkan disebut bug no rate limit.
Mengenal No Rate Limit
Tidak semua endpoint yang tidak dibatasi requestnya bisa disebut dengan bug no rate limit. Hanya Fitur-Fitur krusial yang tidak dipasangi limitasi yang bisa dikatakan memiliki kerentanan no rate limit. Contoh dari bug no rate limit ini adalah ketika kita melakukan forgot password kemudian kita memiliki kemampuan untuk melakukan percobaan memasukkan otp (kode verifikasi) berkali-kali maka hal ini bisa dikatakan kerentanan pada kasus No Rate Limit. Sedangkan kasus pada url yang tidak dapat dikategorikan kerentanan adalah ketika sebuah url memiliki fitur menampilkan postingan ataupun data dari situs dengan menggunakan fitur pencarian. Maka tidak perlu digunakan rate limit pada kasus ini.
Kronologi
Bentar, Sebelum masuk ke kronologi sebenernya males banget nulis ngikutin aturan SEO jadi kali ini mau nulis kayak biasanya aja toh hampir ngga ada orang segabut saya yang nyari tutorial ngebypass No rate limit. Sebenernya kalo dibilang bypass ya engga juga tapi bisa dibilang ini trik yang jarang diperhatiin dan jarang dipakai ketika ngelakuin exploitasi bug no rate limit.
Jadi ketika saya browsing saya menemukan fitur post artikel pada salah satu situs dengan traffic tinggi. Tapi disana banyak sekali orang yang melakukan spamming artikel pada postingan mereka. Rata-rata mereka melakukan spam postingan sebanyak 5kali. Saya sendiri berinisiatif untuk mengalahkan mereka yang melakukan spamming dengan menggunaakan burpsuite. Ketika saya melakukan bruteforce saya mendapatkan respond code - 429 Too Many Request.
Saya sempat mengira hal ini diakibatkan oleh tindakan rate limit yang membatasi jumlah request. Namun anehnya disini adalah ketika saya melakukan request lagi dengan memanfaatkan fitur dari repeater saya mendapatkan respond 200 ok. Yang menandakan tidak adanya rate limit pada end point ini. Biasanya jika sebuah end point memiliki rate limit maka kita tidak akan bisa melakukan request lagi kepada endpoint tersebut (diblokir). Namun pada kasus ini saya masih bisa melakukan request pada endpoint.
Cara Mengurangi Kecepatan Burpsuite dengan Mengurangi Jumlah Threads
- Pada Tab Intruder masuk ke menu option
- Perhatikan kolom number of thread
- Ubah angka pada kolom tersebut menjadi 1 (atau yang lebih kecil dari sebelumya)
Cara Menambahkan Delay pada BurpSuite
- Pada Tab Intruder masuk ke menu option
- Perhatikan kolom throttle (milisecond)
- pilih bagian fixed dan ubah jadi 2000 untuk membuat delay selama 2 detik
Setelah kalian mengurangi jumlah threads dan menambahkan delay pada burp suite coba jalankan lagi intuder dan lihat apakah kalian berhasil melakukan bypas. Memang tidak semua bisa dibypass dengan teknik ini. Bahkan teknik ini tidak sepenuhnya bisa dikatakan bypass namun ada baiknya ketika kalian menjumpai kasus serupa kalian bisa menggunakan trik ini.
