【DVWA】--- 六、不安全的验证码(Insecure CAPTCHA)

最新推荐文章于 2023-08-17 18:31:17 发布
VIP文章 最新推荐文章于 2023-08-17 18:31:17 发布
阅读量606 收藏 3
点赞数 1
分类专栏: dvwa 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43168364/article/details/106420365
版权

Insecure CAPTCHA

一、说明

由于该模块需要一点不健康的东西才可以访问这里就对它每一关的代码审计一下就行了。

二、Low级别

代码审计
在这里插入图片描述
相关函数

  • recaptcha_check_answer()函数:检查用户输入的正确性。

这一关我们只需要抓包改参数就可用绕过验证码的验证。

三、medium级别

源码审计
在这里插入图片描述
这一关和上一关的区别就是多了一个passed_captcha参数来验证用户是否通过了第一步的验证。但是并没有什么用,依旧可以通过抓包改参数,加上

最低0.47元/天 解锁文章
通地塔
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DVWA-master.zip
01-04
DVWA-master.zip
DVWA-不安全验证码
qq_60848021的博客
06-26 1971
出现该问题是因为使用reCAPTCHA没有申请密钥,需要手动填入密钥,打开config.inc.php配置文件,找到 改为: 漏洞介绍:CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。 使用CAPTCHA可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。 攻击者绕过C
DVWA通过教程之不安全验证码 Insecure CAPTCHA
→_→
09-26 1333
关于验证码的还可学习下:浅谈“​​​验证码功能缺陷” Insecure CAPTCHA Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌的验证码表示不背这个锅。 一开始访问是这样的页面:
DVWA--Insecure CAPTCHA(不安全验证码)(全难度)
wwxxee
02-20 586
DVWAInsecure CAPTCHA(不安全验证码) Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。 逻辑 这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。 服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
DVWA通关攻略之不安全验证码
勿山几已
05-22 377
简单介绍不安全验证码漏洞及其利用方式
DVWA(6)不安全验证码(CAPTCHA) LOW-HIGHT 操作记录
lllllaaa111的博客
11-08 261
今天带来第期不安全验证码操作记录。初次接触DVWA,写下自己的操作记录,希望可以帮助每个刚接触DVWA的新手,同时希望可以提升自己的技术。注:如有操作不当的地方希望可以得到大神指导、交流。修改密码,进行抓包将1改为2,提示修改成功。
DVWA-master.7z 压缩包
最新发布
09-14
下载到本地,解压缩之后,重命名为DVWA,并将其放在PHPstudy的WWW目录下
DVWA-master安装包
02-28
学习网络安全的利器
DVWA靶场-----Insecure CAPTCHA(不安全验证码
m0_65712192的博客
11-18 928
DVWA靶场-----Insecure CAPTCHA(不安全验证码
DVWAInsecure CAPTCHA(不安全验证码
RexHa的博客
10-03 1240
DVWA安全验证码
dvwa-不安全验证码
AI_SumSky的博客
11-27 302
安全验证码 low级别 随便改个密码看看,发现报错了,因该是本地环境没配置好验证码不能返回验证图片。 分析下源码发现他有个验证码, 在步长step等于1时验证recaptcha,但他还有一个step步长等于2的if语句这个是没有验证码的,所以第一个if是可以绕过的 抓个包改改参数,step=2,发现不用验证码也可以修改成功,这个和crsf有点像因为他们能通过修改包达到一样的效果 medium级别 分析页面源码发现和low级别相比多了个passed_captcha参数验证只需使其为真便可跳过 抓
dvwa靶场第一周练习
m0_74097148的博客
01-07 414
难度:low 第一题:暴力破解 方法:首先随便输入用户名和密码,进行抓包。 如图所示进入intruder点击add进行破解自己想破解的地方,如图先进行破解用户名 加入自己的破解词典进行破解 破解结果中看到长度明显不同的一个用户名,就是我们所抓取到的,输入该用户名并看响应 这里我也纳闷为什么直接就可以了,百度之后了解到,这个用户名实际上是sql注入,所以我进行了代码审计 在这里我们需要满足$result&&mysqli_num_rows
DVWAInsecure Captcha
谢公子的博客
08-05 5356
Insecure CAPTCHA Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌...
【2023】选择题刷题程序python实现
CSDN2023博客之星Top22 人工智能领域赛道Top2 大三赛道Top2 码龄2-3年赛道Top3
08-17 574
本文介绍了一个选择题刷题程序,包含保存错题功能。
DVWA11_Insecure CAPTCHA(不安全验证码
weixin_44193247的博客
03-12 3356
DVWA漏洞复现练习篇
Insecure CAPTCHA(不安全验证码
kid的博客
05-07 1876
Insecure CAPTCHA 前言 这里我觉得主要是要理解谷歌验证码这个流程,因为这是一个逻辑漏洞,要是换成别的验证方式,这次的漏洞也就不一定有效了,主要还是理解这个验证码的一个流程吧 我在别人的博客看到了这张图,我也是通过这张图来理解这个验证流程的。下面简单说下我的理解 首先用户访问网页,触发页面的验证码的js模块,向谷歌服务器发起请求,谷歌服务器将验证码发给用户。用户输入验证码发送数据回...
DVWA 黑客攻防演练()不安全验证码 Insecure CAPTCHA
weixin_30682415的博客
12-27 339
之前在 CSRF 攻击 的那篇文章的最后,我觉得可以用验证码提高攻击的难度。 若有验证码的话,就比较难被攻击者利用 XSS 漏洞进行的 CSRF 攻击了,因为要识别验证码起码要调用api,跨域会被浏览器拦截,再者一些验证码很难被识别,比如知乎点击倒立的汉字,拖动拼图、百度的汉字验证码,谷歌的神奇的勾勾。。。 觉得这篇文章像是 CSRF 攻击 的一种补充(更像是谷歌验证码的使用教程,而且正常人的逻辑...
dvwa靶场之Insecure CAPTCHA(不安全验证码
m0_63314341的博客
02-12 4233
刚进去你可能看到这样的报错,这是因为我们没有申请密钥,需要手动输入密钥,我们根据红框提示找到文件添加密钥即可 现在我们来看一下low级别 当我们输入两次密码后他会进行一个验证码校验,验证通过后便会出现四个值,我们可以抓包看一下 我们将step的值改为2后再次发送即可校验通过 下面我们来看一下medium级别 这次变成了五个值,我们依旧是抓包将值改为他所要求的即可 下面我们来看一下high级别 这下加入了$_POST['g-recaptcha-response']...
DVWA-2.0 - Insecure CAPTCHA(不安全验证码)
小龙在线
09-06 661
Insecure CAPTCHA(不安全验证码)主要是绕过验证码安全验证,一般都有逻辑漏洞。 Low if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) { 符合POST请求里带Change、step是2的条件,就可以直接跳过第一步的验证码。 通过Burp代理,修改step=2,就可以绕过第一步,从而再利用CSRF漏洞成功修改密码。 Medium // Check to see if they did st
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip...值得注意的是,dvwa-master zip仅用于合法的安全研究和学习目的,未经授权的攻击行为是不被允许的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值