图片验证码
验证码前端检测
验证码由客户端JS生成并且仅仅在客户端用JS验证,通过抓包看数据传输是否有验证码字段或者是关闭JS看能否通过验证。
测试方法:当我们开始抓包,输入任意验证码,页面提示验证码错误,且没有抓到数据包,则说明此时的验证码是通过前端效验的
- 演示案例— 输入错误验证码客户端立即提示错误并且未传输数据包。
- 输入正确验证码后,成功进行了数据交互,尝试在数据包中删除验证码
- 可见验证码并未带入数据请求过程中,只存在与前端进行校验
验证码复用
使用的验证码没有进行销毁处理,可以重复使用。
测试方法:重放多次同一个带有验证码的数据包,如果两次响应提示都是账号或密码这样的错误,则说明漏洞存在,若第二次重放的数据提示验证码错误,则说明该漏洞不存在。
1.输入正确验证码进行请求,可见请求成功。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
