注意:仅用于本人学习的笔记记录,禁止进行传播分享,一旦造成严重后果与本人无关!!!
一、验证码作用
验证码绕过、密码找回漏洞 逻辑漏洞
验证码:一种区分用户是计算机还是人的全自动程序
防止恶意爆破密码、论坛灌水
二、验证码绕过的常见姿势
验证码绕过:
1.识别法:python编程+深度学习、神经网络的知识
2.逻辑绕过:开发写这个验证码校验的时候逻辑产生了问题
逻辑绕过法(乌云案例分析平台)
1.前端绕过验证码
抓包,数据包里面根根没有验证码的传参
2.设置了验证码没有检验
内网系统、纯ip站点、校验服务有问题
3.验证码可重复使用
放到repeter模块一直放包
4.空值绕过
将验证码的传参参数删掉
5.验证码在html输出
验证码写在html里面
6.验证码可控
在请求传参中有个空值验证码的参数
7.验证码有规律
时间戳的后几位
8.万能验证码
例如只要输入000000就能绕过
9.验证码藏cookie里面
看传参中出现几次验证码中的值
10.图片验证码太少
验证码的图片量很少
多次失败后需要验证码:
目的:提高用户体验性
1.爆破账号
2.XFF修改ip、代理池
3.SESSION会话
session会话 => 存在服务器上的
cookie => 存在客户端
cookie代表你的身份 => 它绑定了session
默认情况下:cookie是真的随机值,你随便写写什么都行,但要符合cookie的位数
常见的账户名:
admin
a
test
root
ceshi