pikachu
验证码绕过(on client)
F12打开网站源码查看js代码,发现label标签的类型是text,也就是说这个验证码是个文本显示的,不是图片的那种正常形式,并且产生的验证码也是在前端的这部分的readonly里产生,而不会往服务器传,也就是说使用burp的暴力破解功能可以绕过该验证码的验证。
学习:
F12的这个使用:先点击该图标,然后点击页面上的元素,就可以快速的找到对应的HTML的源代码。
验证码的正常生成:
验证码是从后端生成的,随机生成的:【后端永远都认为前端有可能造假】
1,后端调用相关的绘图第三方类库,或者是系统核心绘图类库进行蹄片的绘制
2、绘制的那些随机的数字,字母,都是后端预先定义好的
3、绘制的图片的URL地址,通过网络反送给客户端,然后,客户端可以使用img标签,去引用这个 验证码的地址
4、后端在绘制完毕验证码之后,随机选择生成的字母,不能丢弃,是需要保存到Session中
5、当客户端输入验证码完毕后,会提交表单,后端服务器会拿到,客户端提交过来的验证码,与服务器端的Session中的验证码进行比较
务器端的Session中的验证码进行比较