本文探讨了验证码绕过攻击的方法,如验证码重复利用、IP欺骗与换IP技巧,以及部分网站的登录漏洞。重点介绍了验证码设计缺陷和应对措施,包括万能验证码和前端验证。
判断是否是人机
验证码重复利用
首先登录 输入正确验证码
抓包
之后 改包 爆破
验证码空值绕过
一般网址有 输错密码2~3次才输入验证码 (也可以替换cookie \ 用户)
验证码传参去掉
万能验证码
超级密码 000000
根据ip给验证码
- 换IP(脚本换ip代理池 | 搭建代理池)搭建代理池
- 换IP (x-FORWARDED-FOR:127.0.0.1) 有的换成本地ip不进行防护
- 基于用户: 爆破用户名 非爆破密码
判断是否是本人
前端手机号验证
- 直接抓包 可能会在包信息中返回
- [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jVMVYz2r-1659670602519)(C:\Users\g2521\AppData\Roaming\Typora\typora-user-images\image-20220803143323330.png)]
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
