1.题目
这道题目名称叫验证码暴破,是对验证码暴破吗?不对,这种说法是不准确的,这里其实是由于验证码机制存在缺陷,无法起到相应的安全作用(防止账号密码暴力破解),从而恶意用户可以利用工具对用户密码进行暴力破解,所以名称叫账号密码暴破更加合适。
在真实的渗透测试工作中,图片验证码的问题广泛存在,主要集中在图片验证码绕过、暴力破解、回显、无效、机器识别等方面。
2.暴破
使用Burp抓包,可以发现,提交之后一共2次请求,第一次是start.php,第二次是codeimage.php(刷新验证码),在渗透测试过程中,我发现大量企业的系统都是使用这种方式,漏洞存在的频率非常高。