【第75课】WEB攻防-验证码安全篇&接口滥用&识别插件&复用绕过&宏命令填入&滑块类

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

知识点:

1、验证码简单机制-验证码过于简单可爆破

2、验证码重复使用-验证码验证机制可绕过

3、验证码智能识别-验证码图形码被可识别

4、验证码接口调用-验证码触发接口可枚举

图片验证码-识别插件-登录爆破&接口枚举

验证码识别绕过等技术适用于:
口令存在爆破,接口枚举调用,任意用户注册等安全问题
1、验证码简单机制-验证码过于简单可爆破
2、验证码重复使用-验证码验证机制可绕过
3、验证码智能识别-验证码图形码被可识别
4、验证码接口调用-验证码触发接口可枚举

爆破登录

登录爆破

自带白嫖版:https://github.com/smxiazi/NEW_xp_CAPTCHA

1、Burp加载插件

2、运行监听py文件

3、设置插件-验证码地址

4、数据包验证码填入参数

5、发包线程设置1后开始

接口收费版:https://github.com/smxiazi/xp_CAPTCHA

1、Burp加载插件

2、注册接口帐号充值

3、设置插件-填入帐号

4、数据包验证码填入参数

5、发包线程设置1后开始

自带白嫖版

项目地址:https://github.com/smxiazi/NEW_xp_CAPTCHA

Burp 加载插件

运行监听 py 文件

设置插件-验证码地址

数据包验证码填入参数

发包线程设置1后开始(这步很重要,发包线程要设置为1)

接口收费版

项目地址:GitHub - smxiazi/xp_CAPTCHA: xp_CAPTCHA_api burp 验证码识别插件 调用接口 准确率更高

Burp 加载插件

注册接口帐号充值

设置插件-填入帐号

数据包验证码填入参数

发包线程设置1后开始

接口枚举

那这里是不是会有一个问题,如果图形验证码能够批量识别,那么是不是就会存在短信轰炸风险

使用BP识别插件进行爆破

图片验证码-重复使用-某APP短信接口滥用

滑块验证码-宏命令-某Token&Sign&滑块案例

参考文章:https://blog.csdn.net/shuryuu/article/details/104576559

同理也可以适用在Token,sign在页面代码中自动获取自动填入后绕过验证

如果看不太懂或者觉得很麻烦,可以参考下面这个文章,原理都是一样的(都是从响应包提取数据放到请求包里)

token防爆破?
https://blog.csdn.net/m0_60571842/article/details/133898472

同理也可以适用在Token,sign在响应页面中自动获取自动填入请求数据包后绕过验证

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值