小编软件测试刚入行二个月
为了前途 前几天看了下有关验证码找回密码的安全漏洞的文章,于是做了以下有关暴力破解验证码的总结
周所周知,所谓暴力破解,也就是我们所说的穷举法
如何对验证码进行暴力破解 无非就是对所有可能的数据进行校验,当然实在太多的数据 可以用多线程 或者高配置电脑来解决,但是对于一些复杂的验证码,我感觉你还是放弃得了,毕竟我们还不是黑客 没达到那种水平
本篇博客所描述的
仅针对四位数的验证码 并且提交错误数据到服务器 正确的验证码不会失效,也就是平常我们所说的五分钟内失效 也就是说在这五分钟内我们可以尝试着将1000-9999这些数据,全部进行输入提交到服务器进行验证,
好了 了解了相关原理 ,现在我来教大家怎么破解,
下面对JMeter的操作需要对JMeter工具有一点基础 没基础的建议先看下基础
使用的工具:JMeter
1.下载JMete压缩包,打开jmeter.bat批处理文件,首先我要说的是,JMeter必须运行在java环境之上,所以在这之前你要配置好java环境
2.新建 -》 线程组/http请求/查看结果树、CSV Data Set Config,关于线程数 开1,然后循环数多少 等于下方你txt文件中数据数
a)然后 在http请求中 将有关接口参数 填写入内,以及服务器对应的ip地址、采取的协议、路径、方法等,如下图(body中 code的值是读取.txt文档中的)