暴力破解

Web渗透测试
  1. 暴力破解
    1. 一、暴力破解工具
    2. 二、验证码(CATPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)
      1. 1、验证码常见问题:
    3. 三、验证码绕过方式

暴力破解

一、暴力破解工具

1、Kali:Hydra

dcdWhn.png

二、验证码(CATPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)

1、验证码常见问题:

1)验证码在后台长时间不过期;2)验证码设计不符合逻辑产生逻辑漏洞;3)验证码设计的过于简单并且有规律

三、验证码绕过方式

1、前端验证:直接删除JS事件

2、后端验证但长期有效:抓住请求的报文,防止重定向刷新Session中的验证码。然后在BP中通过repeater模块暴力破解。

3、后端验证且一次性Token:可以使用BP中的Token宏模块自动获得每次请求刷新的Token,依然用BP的repeater模块进行暴力破解。

当前网速较慢或者你使用的浏览器不支持博客特定功能,请尝试刷新或换用Chrome、Firefox等现代浏览器