目錄

站在用戶的角度思考問題，與客戶深入溝通，找到龍華網站設計與龍華網站推廣的解決方案，憑借多年的經驗，讓設計與互聯(lián)網技術結合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：網站制作、成都網站建設、企業(yè)官網、英文網站、手機端網站、網站推廣、主機域名、虛擬主機、企業(yè)郵箱。業(yè)務覆蓋龍華地區(qū)。

一、驗證碼繞過（on client）

1、驗證碼的認證流程

2、不安全驗證碼-on client常見問題

3、實驗過程

二、驗證碼繞過（on server）

1、不安全驗證碼-on server常見問題

2、實驗過程

---

一、驗證碼繞過（on client） 1、驗證碼的認證流程

客戶端request登錄頁面，后臺生成驗證碼：

1.后臺使用算法生成圖片，并將圖片response給客戶端；

2.同時將算法生成的值全局賦值存到SESSION中；

校驗驗證碼：

1.客戶端將認證信息和驗證碼一同提交；

2. 后臺對提交驗證碼與SESSION里面的進行比較；

客戶端重新刷新頁面，再次生成新的驗證碼：

驗證碼算法中一般包含隨機數(shù)，所以每次刷新都會改變；

2、不安全驗證碼-on client常見問題

①使用前端js實現(xiàn)驗證碼（紙老虎）

②將驗證碼在cookie中泄露，容易被獲取

③將驗證碼在前端源代碼中泄露，容易被獲取

3、實驗過程

1.進入靶場可以發(fā)現(xiàn)本靶場需要驗證碼

2. 隨便輸入賬號密碼，不輸入驗證碼，提示請輸入驗證碼，輸入錯誤驗證碼，提示驗證碼輸入錯誤，看來一定要這個驗證碼才能過這一步，輸入正確驗證碼，提示賬號密碼錯誤

3.由于驗證碼每次會變，我們無法從驗證碼這塊進行暴力破解，回到頁面，看一下這個頁面的源碼，看一下這個驗證碼是不是在前端做的，發(fā)現(xiàn)驗證碼是在javascript實現(xiàn)的

4.然后用Burp Suite抓包，發(fā)送到repeater模塊

5. 不輸入驗證碼或輸錯驗證碼，均輸出賬號密碼錯誤，并沒有說驗證碼錯誤，則后臺并沒有驗證這個驗證碼

6.下面的步驟就熟悉了，這個驗證碼其實沒有什么用

7.其實還可以禁用js，驗證碼就不會顯示了

二、驗證碼繞過（on server） 1、不安全驗證碼-on server常見問題

①驗證碼在后臺不過期，導致可以長期被使用

②驗證碼校驗不嚴格，邏輯出現(xiàn)問題

③驗證碼設計的太過簡單和有規(guī)律，容易被猜解

2、實驗過程

1.進入靶場，可以看到本靶場需要驗證碼

2.賬號密碼隨便輸入，輸入正確的驗證碼，它會提示賬號密碼錯誤，然后用Burp Suite抓包看看，把這個請求發(fā)到Repeater里去

3.先不提交驗證碼，看看后臺到底有沒有進行驗證，返回了驗證碼不能為空，說明后臺還是進行了校驗

4. 輸入錯誤的驗證碼，提示說驗證碼輸入錯誤

5.然后驗證一下這個驗證碼是否存在不過期的問題，發(fā)現(xiàn)驗證碼可以重復使用

6.接下來的步驟就和基于表單的暴力破解一樣了，最終得到賬號密碼

你是否還在尋找穩(wěn)定的海外服務器提供商？創(chuàng)新互聯(lián)www.cdcxhl.cn海外機房具備T級流量清洗系統(tǒng)配攻擊溯源，準確流量調度確保服務器高可用性，企業(yè)級服務器適合批量采購，新人活動首月15元起，快前往官網查看詳情吧

文章題目：Pikachu-暴力破解驗證碼繞過-創(chuàng)新互聯(lián)
網頁鏈接：http://www.chinadenli.net/article30/dpjspo.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供網站改版、網站內鏈、App開發(fā)、標簽優(yōu)化、網站建設、網站排名

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)