Anti-Bot & Sicherheit 11 Min. Lesezeit

Pentest Proxy Rotation: Residential Proxies für autorisierte Bug-Bounty-Engagements

Praxisleitfaden für autorisierte Pentester und Bug-Bounty-Hunter: Wie Residential Proxies mit Rotation Subdomain-Discovery, Asset-Finding und Scanner-Traffic-Blending sicher und legal unterstützen.

ProxyHat Team
Pentest Proxy Rotation: Residential Proxies für autorisierte Bug-Bounty-Engagements

Warum Pentester Proxy-Rotation brauchen

Wer im Rahmen autorisierter Engagements Web-Assets enumeriert, kennt das Problem: Nach wenigen hundert Requests greift die WAF, Rate-Limits blockieren den Scanner, und plötzlich sitzt man vor einem 403- oder 429-Feld. Das ist kein Zeichen dafür, dass man etwas Falsch tut — es ist die normale Reaktion von Infrastrukturen auf konzentrierten Scan-Traffic aus einer einzelnen IP.

Pentest Proxy Rotation löst dieses Problem, indem Requests über ein Netz verteilter IPs abgesetzt werden. Für Bug-Bounty-Hunter bedeutet das: mehr Coverage, weniger False Negatives, sauberere Ergebnisse. Doch bevor wir in die Technik einsteigen, müssen wir die rechtlichen Grundlagen klären — denn ohne explizite Autorisierung ist jeder Scan illegal.

Rechtlicher Rahmen: Autorisierung ist nicht verhandelbar

Explizite Autorisierung erforderlich

Jeder Pentest, jeder Scan, jeder fuzzing-Lauf muss durch eine explizite, schriftliche Autorisierung gedeckt sein. Das gilt für:

  • Verträge mit dem Asset-Owner (Penetration Testing Agreement)
  • Regeln eines Bug-Bounty-Programms (z.B. HackerOne, Bugcrowd, Intigriti)
  • Scope-Dokumente, die definieren, welche Domains, Subdomains und IP-Range getestet werden dürfen

Testing außerhalb des definierten Scopes ist illegal — unabhängig davon, ob gute Absichten vorliegen. Ein Residential Proxy ändert daran nichts. Proxies sind Werkzeuge, keine Freibriefe.

Safe Harbor und Bug-Bounty-Regeln

Viele Bug-Bounty-Programme bieten Safe Harbor-Klauseln an: Solange man sich an die Regeln hält, verzichtet der Asset-Owner auf rechtliche Schritte. Wichtig:

  • Lesen Sie die Scope-Definition genau — oft sind bestimmte Subdomains oder Endpunkte explizit ausgenommen.
  • Beachten Sie Rate-Limit-Klauseln: Manche Programme definieren maximale Request-Raten (z.B. max. 10 Requests/Sekunde).
  • Dokumentieren Sie Ihre Autorisierung vor jedem Engagement.

Ohne Autorisierung ist jeder Scan eine Straftat. Mit Autorisierung und innerhalb des Scopes ist derselbe Scan legitime Sicherheitsforschung. Der Unterschied liegt im Papierkram, nicht in der Technik.

Proxy-Typen im Vergleich: Was Pentester wählen sollten

Nicht jeder Proxy-Typ ist für jeden Use Case geeignet. Die folgende Tabelle zeigt die Unterschiede:

EigenschaftResidential ProxiesDatacenter ProxiesMobile Proxies
IP-ReputationHoch (ISP-IPs)Niedrig (bekannte Rechenzentren)Sehr hoch (Mobilfunk-IPs)
WAF-ErkennungsrisikoGeringHochSehr gering
GeschwindigkeitMittelHochNiedrig bis mittel
Geo-TargetingLand & StadtEingeschränktLand & Netz
PreisMittelNiedrigHoch
Bester Use CaseSubdomain-Enum, Content-DiscoverySchnelle Massen-Scans (WAF-unkritische Ziele)Mobile-spezifische Tests

Für Bug Bounty Residential Proxies sind die erste Wahl, da sie den Traffic wie normalen Nutzer-Traffic aussehen lassen. Datacenter-IPs werden von WAFs und Bot-Detection-Systemen oft sofort erkannt und blockiert.

Subdomain-Discovery mit verteilter Enumeration

Der erste Schritt jedes Web-Pentests ist die Subdomain-Enumeration: Welche Hosts existieren im autorisierten Scope? Passive Quellen (Certificate Transparency, DNS-Datenbanken) liefern einen Startpunkt, aber aktive Enumeration schließt die Lücken.

Amass mit Residential Proxy

Amass unterstützt HTTP-Proxy-Konfiguration. Mit ProxyHat verteilen Sie die Enumeration über hunderte IPs:

# Amass mit ProxyHat Residential Proxy
amass enum \
  -d example.com \
  -config ~/.config/amass/amass.ini \
  -proxy http://user-country-US:pass@gate.proxyhat.com:8080

# Für geo-spezifische Enumeration (z.B. DE-Targets)
amass enum \
  -d example.de \
  -proxy http://user-country-DE:pass@gate.proxyhat.com:8080

Amass wechselt die IP nicht automatisch pro Request — die Rotation passiert über den Proxy-Provider. Bei ProxyHat wird standardmäßig pro Request eine neue IP zugewiesen, es sei denn, Sie nutzen Sticky Sessions:

# Sticky Session für 10 Minuten (amass braucht konsistente Verbindungen)
# Session-ID im Username halten die IP stabil
http://user-session-abc123-country-US:pass@gate.proxyhat.com:8080

Subfinder und passive Quellen

Subfinder aggregiert passive Quellen und benötigt weniger Proxy-Rotation, da API-Calls (VirusTotal, SecurityTrails etc.) ohnehin über die jeweiligen APIs laufen. Für aktive DNS-Resolution empfiehlt sich jedoch ein Proxy:

# Subfinder mit Proxy für DNS-Resolution
subfinder -dL scope-domains.txt \
  -proxy http://user-country-US:pass@gate.proxyhat.com:8080 \
  -o subdomains.txt

Web Asset Discovery Proxies: DNS-Bruteforce und Content-Discovery

Nach der Subdomain-Enumeration folgt die Content-Discovery: Welche Pfade und Endpunkte existieren auf den gefundenen Hosts? Hier wird Proxy-Rotation essenziell, weil Tools wie ffuf und gobuster hunderte Requests pro Sekunde absetzen.

DNS-Bruteforce

Tools wie dnsx oder massdns können DNS-Bruteforce durchführen. Gegenüber autorisierten DNS-Servern ist Rate-Limiting ein echtes Problem — besonders wenn der Target-Nameserver hinter Cloudflare oder Akamai steht. Ein verteilter Ansatz:

  • Teilen Sie die Wordlist in Chunks auf
  • Führen Sie jeden Chunk über eine andere Proxy-Session aus
  • Respektieren Sie DNS-Rate-Limits (typisch: 5–20 qps pro Nameserver)

ffuf mit Proxy-Rotation

ffuf ist das Werkzeug der Wahl für Content-Discovery. Die Proxy-Konfiguration ist unkompliziert:

# ffuf mit ProxyHat — per-request IP-Rotation
ffuf -u https://target.example.com/FUZZ \
  -w /opt/wordlists/seclists/Discovery/Web-Content/common.txt \
  -x http://user-country-US:pass@gate.proxyhat.com:8080 \
  -rate 50 \
  -mc 200,301,302,403 \
  -o ffuf-results.json

# Mit Geo-Targeting für DE-spezifische Inhalte
ffuf -u https://target.example.de/FUZZ \
  -w /opt/wordlists/seclists/Discovery/Web-Content/common.txt \
  -x http://user-country-DE-city-berlin:pass@gate.proxyhat.com:8080 \
  -rate 30 \
  -mc 200,301,302,403

Beachten Sie die -rate-Flagge: Rate-Limit-Etiquette bedeutet, dass Sie die Request-Rate bewusst steuern. Selbst mit Proxy-Rotation sollten Sie nicht die maximale Rate fahren — das erhöht nur das Rauschen und riskiert, dass der Target-Operator Ihre Scans als Angriff interpretiert.

Gobuster als Alternative

Gobuster unterstützt ebenfalls HTTP-Proxies:

# Gobuster dir-Mode mit Proxy
gobuster dir -u https://target.example.com \
  -w /opt/wordlists/seclists/Discovery/Web-Content/common.txt \
  -p http://user-country-US:pass@gate.proxyhat.com:8080 \
  -t 20 \
  -s '200,301,302,403'

Scanner-Traffic-Blending: Burp Suite mit Upstream-Proxy

Manuelle Tests mit Burp Suite profitieren enorm von Residential Proxies. Warum? Weil Burp-Traffic aus Rechenzentrum-IPs sofort als Scanner-Traffic erkannt wird. Mit einem Residential Upstream-Proxy sieht der Traffic aus wie normaler Nutzer-Traffic.

Burp Suite Proxy-Konfiguration

  1. Öffnen Sie Project Options → Connections → Upstream Proxy Servers
  2. Setzen Sie den Proxy-Host auf gate.proxyhat.com
  3. Port: 8080 (HTTP) oder 1080 (SOCKS5)
  4. Authentifizierung: Username und Password aus Ihrem ProxyHat-Dashboard
  5. Für Geo-Targeting: Username-Format user-country-DE

Für SOCKS5 in Burp Suite:

  • Proxy-Typ: SOCKS5
  • Host: gate.proxyhat.com
  • Port: 1080
  • Username: user-country-US (oder Ihr Geo-Target)
  • Password: Ihr ProxyHat-Passwort

Sticky Sessions für Burp

Wenn Sie einen Login-Flow testen, brauchen Sie eine stabile IP für die Dauer der Session. Nutzen Sie Sticky Sessions:

# Sticky Session in Burp Upstream Proxy Username
# Die Session-ID hält die IP für die Session-Dauer stabil
user-session-burptest1-country-US

# Passwort: Ihr ProxyHat-Passwort
# Host: gate.proxyhat.com
# Port: 1080 (SOCKS5)

So simulieren Sie einen realen Nutzer aus den USA, der sich einloggt und durch die Anwendung navigiert — ohne IP-Wechsel während der Session.

Automatisierte Burp-Scans mit verteilter IP

Für Burp Scanner (Active Scan) empfiehlt sich die per-request Rotation, um Scan-Signaturen zu verteilen:

  • Username ohne Session-Flag: user-country-US → neue IP pro Request
  • Kombinieren Sie das mit Burp's eigener Rate-Limiting-Funktion (Throttle)
  • Achten Sie auf die Bug-Bounty-Programmregeln bezüglich Scan-Geschwindigkeit

Rate-Limit-Etiquette: Weniger ist mehr

Proxy-Rotation ist kein Freifahrtschein für unlimitierte Requests. Im Gegenteil: Verantwortungsvolle Pentester respektieren Rate-Limits, auch wenn sie technisch umgehbar wären.

Warum Rate-Limit-Etiquette wichtig ist

  • Reputation: Bug-Bounty-Programme schließen Forscher aus, die übermäßig aggressiv scannt.
  • Verfügbarkeit: DoS-artige Request-Raten können echte Nutzer beeinträchtigen — das ist außerhalb des Scopes.
  • Detektion: Übermäßig aggressiver Traffic führt oft zu automatischen IP-Blacklists, die die Enumeration erschweren.
  • Legalität: Viele Scope-Vereinbarungen definieren explizite Request-Obergrenzen. Überschreitung = Vertragsbruch.

Praktische Richtwerte

Scan-TypEmpfohlene RateBegründung
DNS-Bruteforce5–20 qpsDNS-Server sind empfindlich; UDP-basiert
Content-Discovery (ffuf)30–100 rpsAbhängig von Ziel-Infrastruktur
Vulnerability-Scan (Burp Active)10–30 rpsTestet aktive Endpunkte; vorsichtig sein
Subdomain-Enum (amass)Passiv: unbegrenzt; Aktiv: 10–50 rpsAktive DNS-Auflösung respektvoll durchführen

Wenn das Bug-Bounty-Programm eine spezifische Rate definiert, folgen Sie dieser. Wenn keine Rate angegeben ist, beginnen Sie konservativ und steigern Sie schrittweise.

OSINT und Attributionsschutz

Ein weiterer kritischer Use Case für Residential Proxies in der Sicherheitsforschung: Attributionsschutz. Wenn Sie als OSINT-Analyst oder autorisierter Pentester Informationen sammeln, wollen Sie nicht, dass der Target-Organisation Ihre echte IP oder Ihr Untersuchungsmuster bekannt wird.

  • Residential Proxies tarnen Ihre Herkunft — der Target sieht Traffic von ISP-IPs, nicht von Rechenzentren.
  • Geo-Targeting erlaubt es, Traffic aus dem Land des Targets kommen zu lassen — wichtig für lokalisierte Inhalte.
  • Per-request Rotation verhindert, dass ein IP-basiertes Profil Ihrer Aktivitäten erstellt werden kann.

Kombinieren Sie Proxy-Rotation mit Browser-Fingerprinting-Schutz (z.B. Firefox mit resist fingerprinting) und DNS-Leak-Schutz, um eine umfassende Attributionsschutz-Strategie aufzubauen.

Verteiltes Vulnerability-Scanning

Für größere Engagements mit breitem Scope können Sie Scans über mehrere IPs verteilen, um Rate-Limits zu umgehen und gleichzeitig höhere Coverage zu erreichen:

  1. Teilen Sie die Ziel-Liste in Chunks auf
  2. Weisen Sie jedem Chunk eine Proxy-Session mit unterschiedlicher Geo-Location zu
  3. Führen Sie die Scans parallel durch
  4. Aggregieren Sie die Ergebnisse

Dieser Ansatz funktioniert besonders gut mit Web Asset Discovery Proxies und Tools wie Nuclei, die native Proxy-Unterstützung bieten:

# Nuclei mit ProxyHat
nuclei -l targets.txt \
  -proxy http://user-country-US:pass@gate.proxyhat.com:8080 \
  -rate-limit 50 \
  -o nuclei-results.txt

Key Takeaways

  • Autorisierung zuerst: Ohne explizite Autorisierung ist jeder Scan illegal. Bug-Bounty-Regeln und Scope-Dokumente sind verbindlich.
  • Residential Proxies sind die beste Wahl für Bug-Bounty-Hunter, da sie WAF-Detection vermeiden und realen Nutzer-Traffic simulieren.
  • Proxy-Rotation verteilt Scan-Traffic über hunderte IPs, vermeidet Rate-Limits und erhöht die Coverage.
  • Rate-Limit-Etiquette: Aggressives Scannen ist kontraproduktiv. Beginnen Sie konservativ, steigern Sie schrittweise.
  • Sticky Sessions für Login-Flows und Stateful-Tests; per-request Rotation für Enumeration und Discovery.
  • Geo-Targeting für lokalisierte Tests — simulieren Sie Nutzer aus dem Land des Targets.
  • Attributionsschutz: Residential Proxies schützen Ihre Identität bei OSINT-Untersuchungen.

Fazit und nächste Schritte

Pentest Proxy Rotation ist kein optionales Feature — es ist ein notwendiges Werkzeug für jeden ernsthaften Bug-Bounty-Hunter und autorisierten Pentester. Die Kombination aus Residential Proxies, intelligenter Rotation und verantwortungsvoller Rate-Limit-Etiquette ermöglicht maximale Coverage bei minimaler Detektionswahrscheinlichkeit.

ProxyHat bietet die Infrastruktur, die Sie brauchen: Residential Proxies mit per-request Rotation, Geo-Targeting auf Stadt-Ebene und SOCKS5-Unterstützung für Burp Suite. Starten Sie mit einem kostenlosen Test und integrieren Sie Proxy-Rotation in Ihren nächsten autorisierten Engagement-Workflow.

Weitere Ressourcen:

Bereit loszulegen?

Zugang zu über 50 Mio. Residential-IPs in über 148 Ländern mit KI-gesteuerter Filterung.

Preise ansehenResidential Proxies
← Zurück zum Blog