Day75:WEB攻防-验证码安全篇接口滥用识别插件复用绕过宏命令填入滑块类

本文主要是介绍Day75:WEB攻防-验证码安全篇接口滥用识别插件复用绕过宏命令填入滑块类,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

图片验证码-识别插件-登录爆破&接口枚举

登录爆破

接口枚举

图片验证码-重复使用-某APP短信接口滥用

滑块验证码-宏命令-某Token&Sign&滑块案例


知识点:

1、验证码简单机制-验证码过于简单可爆破

2、验证码重复使用-验证码验证机制可绕过

3、验证码智能识别-验证码图形码被可识别

4、验证码接口调用-验证码触发接口可枚举

图片验证码-识别插件-登录爆破&接口枚举

验证码识别绕过等技术适用于:
口令存在爆破,接口枚举调用,任意用户注册等安全问题
1、验证码简单机制-验证码过于简单可爆破
2、验证码重复使用-验证码验证机制可绕过
3、验证码智能识别-验证码图形码被可识别
4、验证码接口调用-验证码触发接口可枚举

爆破登录

登录爆破

自带白嫖版:https://github.com/smxiazi/NEW_xp_CAPTCHA

1、Burp加载插件

2、运行监听py文件

3、设置插件-验证码地址

4、数据包验证码填入参数

5、发包线程设置1后开始

接口收费版:https://github.com/smxiazi/xp_CAPTCHA

1、Burp加载插件

2、注册接口帐号充值

3、设置插件-填入帐号

4、数据包验证码填入参数

5、发包线程设置1后开始

自带白嫖版

项目地址:https://github.com/smxiazi/NEW_xp_CAPTCHA

Burp 加载插件

运行监听 py 文件

设置插件-验证码地址

数据包验证码填入参数

发包线程设置1后开始(这步很重要,发包线程要设置为1)

接口收费版

项目地址:https://github.com/smxiazi/xp_CAPTCHA

Burp 加载插件

注册接口帐号充值

设置插件-填入帐号

数据包验证码填入参数

发包线程设置1后开始

接口枚举

那这里是不是会有一个问题,如果图形验证码能够批量识别,那么是不是就会存在短信轰炸风险

使用BP识别插件进行爆破

图片验证码-重复使用-某APP短信接口滥用

滑块验证码-宏命令-某Token&Sign&滑块案例

参考文章:https://blog.csdn.net/shuryuu/article/details/104576559

同理也可以适用在Token,sign在页面代码中自动获取自动填入后绕过验证

如果看不太懂或者觉得很麻烦,可以参考下面这个文章,原理都是一样的(都是从响应包提取数据放到请求包里)

token防爆破?
https://blog.csdn.net/m0_60571842/article/details/133898472

同理也可以适用在Token,sign在响应页面中自动获取自动填入请求数据包后绕过验证
 

这篇关于Day75:WEB攻防-验证码安全篇接口滥用识别插件复用绕过宏命令填入滑块类的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/834006

相关文章

JSON Web Token在登陆中的使用过程

《JSONWebToken在登陆中的使用过程》:本文主要介绍JSONWebToken在登陆中的使用过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录JWT 介绍微服务架构中的 JWT 使用结合微服务网关的 JWT 验证1. 用户登录,生成 JWT2. 自定义过滤

go中空接口的具体使用

《go中空接口的具体使用》空接口是一种特殊的接口类型,它不包含任何方法,本文主要介绍了go中空接口的具体使用,具有一定的参考价值,感兴趣的可以了解一下... 目录接口-空接口1. 什么是空接口?2. 如何使用空接口?第一,第二,第三,3. 空接口几个要注意的坑坑1:坑2:坑3:接口-空接口1. 什么是空接

springboot security验证码的登录实例

《springbootsecurity验证码的登录实例》:本文主要介绍springbootsecurity验证码的登录实例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录前言代码示例引入依赖定义验证码生成器定义获取验证码及认证接口测试获取验证码登录总结前言在spring

一文教你如何将maven项目转成web项目

《一文教你如何将maven项目转成web项目》在软件开发过程中,有时我们需要将一个普通的Maven项目转换为Web项目,以便能够部署到Web容器中运行,本文将详细介绍如何通过简单的步骤完成这一转换过程... 目录准备工作步骤一:修改​​pom.XML​​1.1 添加​​packaging​​标签1.2 添加

Python实现自动化接收与处理手机验证码

《Python实现自动化接收与处理手机验证码》在移动互联网时代,短信验证码已成为身份验证、账号注册等环节的重要安全手段,本文将介绍如何利用Python实现验证码的自动接收,识别与转发,需要的可以参考下... 目录引言一、准备工作1.1 硬件与软件需求1.2 环境配置二、核心功能实现2.1 短信监听与获取2.

使用PyTorch实现手写数字识别功能

《使用PyTorch实现手写数字识别功能》在人工智能的世界里,计算机视觉是最具魅力的领域之一,通过PyTorch这一强大的深度学习框架,我们将在经典的MNIST数据集上,见证一个神经网络从零开始学会识... 目录当计算机学会“看”数字搭建开发环境MNIST数据集解析1. 认识手写数字数据库2. 数据预处理的

Pytorch微调BERT实现命名实体识别

《Pytorch微调BERT实现命名实体识别》命名实体识别(NER)是自然语言处理(NLP)中的一项关键任务,它涉及识别和分类文本中的关键实体,BERT是一种强大的语言表示模型,在各种NLP任务中显著... 目录环境准备加载预训练BERT模型准备数据集标记与对齐微调 BERT最后总结环境准备在继续之前,确

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

Flask 验证码自动生成的实现示例

《Flask验证码自动生成的实现示例》本文主要介绍了Flask验证码自动生成的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习... 目录生成图片以及结果处理验证码蓝图html页面展示想必验证码大家都有所了解,但是可以自己定义图片验证码

如何用java对接微信小程序下单后的发货接口

《如何用java对接微信小程序下单后的发货接口》:本文主要介绍在微信小程序后台实现发货通知的步骤,包括获取Access_token、使用RestTemplate调用发货接口、处理AccessTok... 目录配置参数 调用代码获取Access_token调用发货的接口类注意点总结配置参数 首先需要获取Ac