DVWA--Insecure CAPTCHA（不安全的验证码）

Insecure CAPTCHA，意思是不安全的验证码，CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。这块主要是验证流程出现了逻辑漏洞

LOW

通过构造参数绕过验证过程的第一步，首先输入密码，点击Change按钮，抓包：

 

 

更改step参数绕过验证码：

 

 

密码修改成功

 

 

 

Medium

Medium级别的代码在第二步验证时，参加了对参数passed_captcha的检查，如果参数值为true，则认为用户已经通过了验证码检查，然而用户依然可以通过伪造参数绕过验证，本质上来说，这与Low级别的验证没有任何区别

 

可以通过抓包，更改step参数，增加passed_captcha参数(passed_captcha=true)，绕过验证码

 

 

 

 

 

 

 

High

 

 

抓包

 

 

增加参数recaptcha_response_field以及http包头的User-Agent：

 

 

密码成功修改