暴力破解--验证码绕过

一、前端验证码破解，这种验证码通常隐藏在前端网页的javascript语句了，通过网页端查看网页源码就可以看到该页面的验证码规则，这种验证码我们通过burpsuite破解的时候，验证码几乎对我们的破解流程没有任何影响。

 此处将验证码删除，在burpsuite中再次进行提交，可以看到并没有提示验证码缺失

2.当验证码的流程是在后台进行验证时，上面的方式就往往无法行通，我们此时往往可以后台的验证码生成后，默认有效时间是24分钟，我们往往可以利用这个验证码有效时间进行暴力破解

 此时在正确输入验证码后，在burpsuite中发送请求后，页面会提示用户名密码不正确，此时在不更改验证码的前提下，更改一下用户名或者密码，再次提交后，页面返回的数据仍然是用户名密码不正确，表明验证码没有过期，可以反复使用。

 将这个数据发送到Intruter中，进行暴力破解，可以根据字符数据的长度，查看是否破解成功。