【DVWA】--- 六、不安全的验证码(Insecure CAPTCHA)

最新推荐文章于 2024-05-07 15:49:58 发布
最新推荐文章于 2024-05-07 15:49:58 发布
阅读量661 收藏 3
点赞数 1
分类专栏: dvwa 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43168364/article/details/106420365
版权
这篇博客详细分析了DVWA中不安全验证码(Insecure CAPTCHA)的四个安全级别,从Low到Impossible,揭示了如何通过代码审计和抓包方式逐级绕过验证码验证。在 Impossible 级别,虽然加强了防护,但依然强调了了解当前密码、防止CSRF和SQL注入的重要性。
摘要由CSDN通过智能技术生成

Insecure CAPTCHA

一、说明

由于该模块需要一点不健康的东西才可以访问这里就对它每一关的代码审计一下就行了。

二、Low级别

代码审计
在这里插入图片描述
相关函数

  • recaptcha_check_answer()函数:检查用户输入的正确性。

这一关我们只需要抓包改参数就可用绕过验证码的验证。

三、medium级别

源码审计
在这里插入图片描述
这一关和上一关的区别就是多了一个passed_captcha参数来验证用户是否通过了第一步的验证。但是并没有什么用,依旧可以通过抓包改参数,加上passed_captcha参数即可绕过验证码。

四、High级别

代码审计
在这里插入图片描述
这一级别对recaptcha_che

最低0.47元/天 解锁文章
通地塔
关注
专栏目录
DVWA-不安全验证码
qq_60848021的博客
06-26 2116
出现该问题是因为使用reCAPTCHA没有申请密钥,需要手动填入密钥,打开config.inc.php配置文件,找到 改为: 漏洞介绍:CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。 使用CAPTCHA可以防止计算机恶意破解密码、刷单等,保证用户是人类(无法快速反复发送请求)。 攻击者绕过C
DVWA--Insecure CAPTCHA(不安全验证码)(全难度)
wwxxee
02-20 635
DVWAInsecure CAPTCHA(不安全验证码) Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。 逻辑 这一模块的验证码使用的是Google提供reCAPTCHA服务,下图是验证的具体流程。 服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。
DVWA通过教程之不安全验证码 Insecure CAPTCHA
→_→
09-26 1424
关于验证码的还可学习下:浅谈“​​​验证码功能缺陷” Insecure CAPTCHA Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌的验证码表示不背这个锅。 一开始访问是这样的页面:
DVWA-2.0 - Insecure CAPTCHA(不安全验证码)
小龙在线
09-06 689
Insecure CAPTCHA(不安全验证码)主要是绕过验证码安全验证,一般都有逻辑漏洞。 Low if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '2' ) ) { 符合POST请求里带Change、step是2的条件,就可以直接跳过第一步的验证码。 通过Burp代理,修改step=2,就可以绕过第一步,从而再利用CSRF漏洞成功修改密码。 Medium // Check to see if they did st
DVWA 黑客攻防演练()不安全验证码 Insecure CAPTCHA
weixin_30682415的博客
12-27 361
之前在 CSRF 攻击 的那篇文章的最后,我觉得可以用验证码提高攻击的难度。 若有验证码的话,就比较难被攻击者利用 XSS 漏洞进行的 CSRF 攻击了,因为要识别验证码起码要调用api,跨域会被浏览器拦截,再者一些验证码很难被识别,比如知乎点击倒立的汉字,拖动拼图、百度的汉字验证码,谷歌的神奇的勾勾。。。 觉得这篇文章像是 CSRF 攻击 的一种补充(更像是谷歌验证码的使用教程,而且正常人的逻辑...
DVWA11_Insecure CAPTCHA(不安全验证码
weixin_44193247的博客
03-12 3526
DVWA漏洞复现练习篇
DVWA-Insecure CAPTCHA(不安全验证码
weixin_50342860的博客
08-25 786
目录风险lowmediumhigh修复 风险 是指验证码验证可以被绕过。怎么绕?一般都是验证码的验证和最终修改的验证分离,导致了中间过程(验证码的验证结果)可以被篡改 进入Insecure CAPTCHA 模块,看到需要配置 根据相应的路径,找到文件中下图所示的位置,输入随意值,保存 可刷新页面,正常访问 low <?php if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) { // Hide
DVWA-Insecure CAPTCHE 不安全的验证流程
原味瓜子、的博客
09-22 350
文章目录不安全的验证流程一、Low等级二、Medium等级四、impossible等级 不安全的验证流程 一、Low等级 1、漏洞分析 if( isset( $_POST[ 'Change' ] ) && ( $_POST[ 'step' ] == '1' ) ) { // Check CAPTCHA from 3rd party $resp = recaptcha_check_answer( $_DVWA[ 'recaptcha_private_key'],
DVWA关卡6:Insecure CAPTCHA(不安全验证码
m0_54899775的博客
12-07 1496
DVWA关卡6:Insecure CAPTCHA(不安全验证码
dvwa-不安全验证码
AI_SumSky的博客
11-27 352
安全验证码 low级别 随便改个密码看看,发现报错了,因该是本地环境没配置好验证码不能返回验证图片。 分析下源码发现他有个验证码, 在步长step等于1时验证recaptcha,但他还有一个step步长等于2的if语句这个是没有验证码的,所以第一个if是可以绕过的 抓个包改改参数,step=2,发现不用验证码也可以修改成功,这个和crsf有点像因为他们能通过修改包达到一样的效果 medium级别 分析页面源码发现和low级别相比多了个passed_captcha参数验证只需使其为真便可跳过 抓
dvwa靶场Insecure CAPTCHA(不安全验证码)全难度教程(附代码分析)
最新发布
m0_73248913的博客
05-07 522
搭建流程注意linux和此搭建方法一样(建议使用windows)
DVWAInsecure Captcha
谢公子的博客
08-05 5441
Insecure CAPTCHA Insecure CAPTCHA,意思是不安全验证码CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些,因为这块主要是验证流程出现了逻辑漏洞,谷歌...
Insecure CAPTCHA(不安全验证码
kid的博客
05-07 1959
Insecure CAPTCHA 前言 这里我觉得主要是要理解谷歌验证码这个流程,因为这是一个逻辑漏洞,要是换成别的验证方式,这次的漏洞也就不一定有效了,主要还是理解这个验证码的一个流程吧 我在别人的博客看到了这张图,我也是通过这张图来理解这个验证流程的。下面简单说下我的理解 首先用户访问网页,触发页面的验证码的js模块,向谷歌服务器发起请求,谷歌服务器将验证码发给用户。用户输入验证码发送数据回...
安全验证码Insecure CAPTCHA
weixin_33937913的博客
06-20 350
没啥好讲的,当验证不合格时,通过burp抓包工具修改成符合要求的数据包。修改参数标志位、USER-AGENT之类的参数。 防御 加强验证,Anti-CSRFtoken机制防御CSRF攻击,利用PDO技术防护sql注入,验证码无法绕过,同时要求用户输入之前的密码,进一步加强了身份认证。 转载于:https://www.cnblogs.com/aeolian/p/11058792.html...
DVWAInsecure CAPTCHA(不安全验证码
RexHa的博客
10-03 1478
DVWA安全验证码
DVWA靶场-----Insecure CAPTCHA(不安全验证码
m0_65712192的博客
11-18 1315
DVWA靶场-----Insecure CAPTCHA(不安全验证码
web常见攻击三 –不安全验证码机制(Insecure CAPCTHE)
Smallearth的专栏
12-03 1553
web常见攻击三 –不安全验证码机制(Insecure CAPCTHE)
dvwa靶场之Insecure CAPTCHA(不安全验证码
m0_63314341的博客
02-12 4304
刚进去你可能看到这样的报错,这是因为我们没有申请密钥,需要手动输入密钥,我们根据红框提示找到文件添加密钥即可 现在我们来看一下low级别 当我们输入两次密码后他会进行一个验证码校验,验证通过后便会出现四个值,我们可以抓包看一下 我们将step的值改为2后再次发送即可校验通过 下面我们来看一下medium级别 这次变成了五个值,我们依旧是抓包将值改为他所要求的即可 下面我们来看一下high级别 这下加入了$_POST['g-recaptcha-response']...
DVWA通关攻略之不安全验证码
勿山几已
05-22 542
简单介绍不安全验证码漏洞及其利用方式
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip是一个基于PHP和MySQL开发的靶场平台,旨在帮助用户了解和学习网络安全漏洞。它模拟了多种常见的Web应用程序漏洞,如SQL注入、XSS跨站脚本攻击、命令执行等,用户可以通过对这些漏洞进行测试和攻击来提高自己的网络安全意识和技能。 dvwa-master zip的安装非常简便,只需将其解压到服务器的Web目录下,并配置好数据库连接信息即可。一旦安装完成,用户就可以通过浏览器访问dvwa-master zip的前端界面,并开始进行安全测试和漏洞扫描。 dvwa-master zip提供了多个不同的安全级别,从易到难,供用户选择。在低级别中,漏洞和脆弱性的例子会更为简单和明显;而在高级别中,这些漏洞将会更加难以察觉和利用,需要用户具备更高的技术水平。 通过dvwa-master zip,用户可以模拟和测试真实的网络安全风险,学习如何防范和修复相关漏洞。它对于安全工程师、渗透测试人员、Web开发人员等具有较高的教育和培训价值。值得注意的是,dvwa-master zip仅用于合法的安全研究和学习目的,未经授权的攻击行为是不被允许的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值