暴力破解--验证码绕过

一、前端验证码破解,这种验证码通常隐藏在前端网页的javascript语句了,通过网页端查看网页源码就可以看到该页面的验证码规则,这种验证码我们通过burpsuite破解的时候,验证码几乎对我们的破解流程没有任何影响。

 此处将验证码删除,在burpsuite中再次进行提交,可以看到并没有提示验证码缺失

2.当验证码的流程是在后台进行验证时,上面的方式就往往无法行通,我们此时往往可以后台的验证码生成后,默认有效时间是24分钟,我们往往可以利用这个验证码有效时间进行暴力破解

 此时在正确输入验证码后,在burpsuite中发送请求后,页面会提示用户名密码不正确,此时在不更改验证码的前提下,更改一下用户名或者密码,再次提交后,页面返回的数据仍然是用户名密码不正确,表明验证码没有过期,可以反复使用。

 将这个数据发送到Intruter中,进行暴力破解,可以根据字符数据的长度,查看是否破解成功。

 

posted @ 2024-07-15 17:55  墨VS雪  阅读(252)  评论(0编辑  收藏  举报