Day75:WEB攻防-验证码安全篇&接口滥用&识别插件&复用绕过&宏命令填入&滑块类

目录

图片验证码-识别插件-登录爆破&接口枚举

登录爆破

接口枚举

图片验证码-重复使用-某APP短信接口滥用

滑块验证码-宏命令-某Token&Sign&滑块案例


知识点:
1、验证码简单机制-验证码过于简单可爆破

2、验证码重复使用-验证码验证机制可绕过

3、验证码智能识别-验证码图形码被可识别

4、验证码接口调用-验证码触发接口可枚举

图片验证码-识别插件-登录爆破&接口枚举

验证码识别绕过等技术适用于:

口令存在爆破,接口枚举调用,任意用户注册等安全问题

1、验证码简单机制-验证码过于简单可爆破

2、验证码重复使用-验证码验证机制可绕过

3、验证码智能识别-验证码图形码被可识别

4、验证码接口调用-验证码触发接口可枚举
爆破登录

登录爆破

自带白嫖版:https://github.com/smxiazi/NEW_xp_CAPTCHA
1、Burp加载插件

2、运行监听py文件

3、设置插件-验证码地址

4、数据包验证码填入参数

5、发包线程设置1后开始

接口收费版:https://github.com/smxiazi/xp_CAPTCHA

1、Burp加载插件

2、注册接口帐号充值

3、设置插件-填入帐号

4、数据包验证码填入参数

5、发包线程设置1后开始

自带白嫖版

项目地址:https://github.com/smxiazi/NEW_xp_CAPTCHA

Burp 加载插件

运行监听 py 文件

设置插件-验证码地址

数据包验证码填入参数

发包线程设置1后开始(这步很重要,发包线程要设置为1)

接口收费版

项目地址:https://github.com/smxiazi/xp_CAPTCHA

Burp 加载插件

注册接口帐号充值

设置插件-填入帐号

数据包验证码填入参数

发包线程设置1后开始

接口枚举

那这里是不是会有一个问题,如果图形验证码能够批量识别,那么是不是就会存在短信轰炸风险

使用BP识别插件进行爆破

图片验证码-重复使用-某APP短信接口滥用

滑块验证码-宏命令-某Token&Sign&滑块案例

参考文章:https://blog.csdn.net/shuryuu/article/details/104576559
同理也可以适用在Token,sign在页面代码中自动获取自动填入后绕过验证

如果看不太懂或者觉得很麻烦,可以参考下面这个文章,原理都是一样的(都是从响应包提取数据放到请求包里)

token防爆破?

https://blog.csdn.net/m0_60571842/article/details/133898472

同理也可以适用在Token,sign在响应页面中自动获取自动填入请求数据包后绕过验证

相关推荐
安全漏洞防治中心4 小时前
Roadmap:一年实现安全漏洞防治自动化
运维·web安全·网络安全·自动化·漏洞管理·漏洞处置sop·漏洞紧急修复建议
lingggggaaaa6 小时前
小迪安全v2023学习笔记(七十讲)—— Python安全&SSTI模板注入&项目工具
笔记·python·学习·安全·web安全·网络安全·ssti
卓码软件测评1 天前
软件测试:如何利用Burp Suite进行高效WEB安全测试
网络·安全·web安全·可用性测试·安全性测试
黑客影儿2 天前
Go特有的安全漏洞及渗透测试利用方法(通俗易懂)
开发语言·后端·安全·web安全·网络安全·golang·系统安全
m0_738120722 天前
CTFshow系列——命令执行web38-40
前端·windows·安全·web安全
网络安全大学堂3 天前
【黑客技术零基础入门】PHP环境搭建、安装Apache、安装与配置MySQL(非常详细)零基础入门到精通,收藏这一篇就够
安全·web安全·计算机·网络安全·黑客·信息安全·程序员
卓码软件测评3 天前
【网站测试:CORS配置错误引发的安全风险及测试】
功能测试·安全·web安全·压力测试·可用性测试·安全性测试
XY_墨莲伊4 天前
【网络安全实验报告】实验六: 病毒防护实验
安全·web安全
lingggggaaaa4 天前
小迪安全v2023学习笔记(六十二讲)—— PHP框架反序列化
笔记·学习·安全·web安全·网络安全·php·反序列化
小韩博5 天前
网络安全(Java语言)脚本 汇总(二)
java·安全·web安全