Pikachu-暴力破解驗(yàn)證碼繞過-創(chuàng)新互聯(lián)

目錄

站在用戶的角度思考問題,與客戶深入溝通,找到龍華網(wǎng)站設(shè)計(jì)與龍華網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗(yàn),讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品,建站類型包括:網(wǎng)站制作、成都網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、主機(jī)域名、虛擬主機(jī)、企業(yè)郵箱。業(yè)務(wù)覆蓋龍華地區(qū)。

一、驗(yàn)證碼繞過(on client)

1、驗(yàn)證碼的認(rèn)證流程

2、不安全驗(yàn)證碼-on client常見問題

3、實(shí)驗(yàn)過程

二、驗(yàn)證碼繞過(on server)

1、不安全驗(yàn)證碼-on server常見問題

2、實(shí)驗(yàn)過程

一、驗(yàn)證碼繞過(on client) 1、驗(yàn)證碼的認(rèn)證流程

客戶端request登錄頁(yè)面,后臺(tái)生成驗(yàn)證碼:

1.后臺(tái)使用算法生成圖片,并將圖片response給客戶端;

2.同時(shí)將算法生成的值全局賦值存到SESSION中;

校驗(yàn)驗(yàn)證碼:

1.客戶端將認(rèn)證信息和驗(yàn)證碼一同提交;

2. 后臺(tái)對(duì)提交驗(yàn)證碼與SESSION里面的進(jìn)行比較;

客戶端重新刷新頁(yè)面,再次生成新的驗(yàn)證碼:

驗(yàn)證碼算法中一般包含隨機(jī)數(shù),所以每次刷新都會(huì)改變;

2、不安全驗(yàn)證碼-on client常見問題

①使用前端js實(shí)現(xiàn)驗(yàn)證碼(紙老虎)

②將驗(yàn)證碼在cookie中泄露,容易被獲取

③將驗(yàn)證碼在前端源代碼中泄露,容易被獲取

3、實(shí)驗(yàn)過程

1.進(jìn)入靶場(chǎng)可以發(fā)現(xiàn)本靶場(chǎng)需要驗(yàn)證碼

2. 隨便輸入賬號(hào)密碼,不輸入驗(yàn)證碼,提示請(qǐng)輸入驗(yàn)證碼,輸入錯(cuò)誤驗(yàn)證碼,提示驗(yàn)證碼輸入錯(cuò)誤,看來一定要這個(gè)驗(yàn)證碼才能過這一步,輸入正確驗(yàn)證碼,提示賬號(hào)密碼錯(cuò)誤

3.由于驗(yàn)證碼每次會(huì)變,我們無法從驗(yàn)證碼這塊進(jìn)行暴力破解,回到頁(yè)面,看一下這個(gè)頁(yè)面的源碼,看一下這個(gè)驗(yàn)證碼是不是在前端做的,發(fā)現(xiàn)驗(yàn)證碼是在javascript實(shí)現(xiàn)的

4.然后用Burp Suite抓包,發(fā)送到repeater模塊

5. 不輸入驗(yàn)證碼或輸錯(cuò)驗(yàn)證碼,均輸出賬號(hào)密碼錯(cuò)誤,并沒有說驗(yàn)證碼錯(cuò)誤,則后臺(tái)并沒有驗(yàn)證這個(gè)驗(yàn)證碼

6.下面的步驟就熟悉了,這個(gè)驗(yàn)證碼其實(shí)沒有什么用

7.其實(shí)還可以禁用js,驗(yàn)證碼就不會(huì)顯示了

二、驗(yàn)證碼繞過(on server) 1、不安全驗(yàn)證碼-on server常見問題

①驗(yàn)證碼在后臺(tái)不過期,導(dǎo)致可以長(zhǎng)期被使用

②驗(yàn)證碼校驗(yàn)不嚴(yán)格,邏輯出現(xiàn)問題

③驗(yàn)證碼設(shè)計(jì)的太過簡(jiǎn)單和有規(guī)律,容易被猜解

2、實(shí)驗(yàn)過程

1.進(jìn)入靶場(chǎng),可以看到本靶場(chǎng)需要驗(yàn)證碼

2.賬號(hào)密碼隨便輸入,輸入正確的驗(yàn)證碼,它會(huì)提示賬號(hào)密碼錯(cuò)誤,然后用Burp Suite抓包看看,把這個(gè)請(qǐng)求發(fā)到Repeater里去

3.先不提交驗(yàn)證碼,看看后臺(tái)到底有沒有進(jìn)行驗(yàn)證,返回了驗(yàn)證碼不能為空,說明后臺(tái)還是進(jìn)行了校驗(yàn)

4. 輸入錯(cuò)誤的驗(yàn)證碼,提示說驗(yàn)證碼輸入錯(cuò)誤

5.然后驗(yàn)證一下這個(gè)驗(yàn)證碼是否存在不過期的問題,發(fā)現(xiàn)驗(yàn)證碼可以重復(fù)使用

6.接下來的步驟就和基于表單的暴力破解一樣了,最終得到賬號(hào)密碼

你是否還在尋找穩(wěn)定的海外服務(wù)器提供商?創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級(jí)流量清洗系統(tǒng)配攻擊溯源,準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性,企業(yè)級(jí)服務(wù)器適合批量采購(gòu),新人活動(dòng)首月15元起,快前往官網(wǎng)查看詳情吧

文章題目:Pikachu-暴力破解驗(yàn)證碼繞過-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)鏈接:http://muchs.cn/article30/dpjspo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版、網(wǎng)站內(nèi)鏈、App開發(fā)、標(biāo)簽優(yōu)化網(wǎng)站建設(shè)、網(wǎng)站排名

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)