如何简单绕过人机身份验证Captcha

发布时间:2022-01-18 15:51:04 作者:柒染
来源:亿速云 阅读:4886

如何简单绕过人机身份验证Captcha,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。

今天分享的Writeup是作者在目标网站漏洞测试中发现的一种简单的人机身份验证(Captcha)绕过方法,利用Chrome开发者工具对目标网站登录页面进行了简单的元素编辑就实现了Captcha绕过。

人机身份验证(Captcha)通常会出现在网站的注册、登录和密码重置页面,以下是目标网站在登录页面中布置的Captcha机制。

如何简单绕过人机身份验证Captcha

从上图中可以看到,用户只有在勾选了Captcha验证机制的“I‘m not a robot”之后,登录按钮(Sign-IN)才会启用显示以供用户点击。因此,基于这点,我右键点击了Sign-In按钮,然后用Chrome开发者工具的“元素检查”(Inspect Element )功能来查看Sign-In按钮的底层元素,这一看,竟然发现其在“提交”(Submit)动作之后,定义了“禁用”(Disable)属性,好吧,那我就把它改变成“启用”(Enable)试试看。

如何简单绕过人机身份验证Captcha

这一改,登录按钮(Sign-IN)显示且可点击了,好吧,我确实不是一个机器人,人机身份验证(Captcha)在这里成了摆设。

如何简单绕过人机身份验证Captcha

我好奇服务端的验证方式,于是就用BurpSuite对上述过程进行了抓包,发现服务端一开始都不对用户提交的Captcha操作做验证,因此,即使我把提交的Captcha会话内容删除了,一样可以跳转到登录页面,根本不需要触发其中的“启用”(Enable)属性就行。

如何简单绕过人机身份验证Captcha

看完上述内容,你们掌握如何简单绕过人机身份验证Captcha的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

推荐阅读:
  1. Mob云验证,让身份验证更简单
  2. 一个非常简单的WAF绕过。。

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

captcha

上一篇:怎么用Python编写一个拼写纠错器

下一篇:如何用python抓取链家网二手房数据

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》