暴力破解
暴力破解
一、暴力破解工具
1、Kali:Hydra
二、验证码(CATPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)
1、验证码常见问题:
1)验证码在后台长时间不过期;2)验证码设计不符合逻辑产生逻辑漏洞;3)验证码设计的过于简单并且有规律
三、验证码绕过方式
1、前端验证:直接删除JS事件
2、后端验证但长期有效:抓住请求的报文,防止重定向刷新Session中的验证码。然后在BP中通过repeater模块暴力破解。
3、后端验证且一次性Token:可以使用BP中的Token宏模块自动获得每次请求刷新的Token,依然用BP的repeater模块进行暴力破解。