Day75：WEB攻防-验证码安全篇接口滥用识别插件复用绕过宏命令填入滑块类

本文主要是介绍Day75：WEB攻防-验证码安全篇接口滥用识别插件复用绕过宏命令填入滑块类，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

目录

图片验证码-识别插件-登录爆破&接口枚举

登录爆破

接口枚举

图片验证码-重复使用-某APP短信接口滥用

滑块验证码-宏命令-某Token&Sign&滑块案例

---

知识点：

1、验证码简单机制-验证码过于简单可爆破

2、验证码重复使用-验证码验证机制可绕过

3、验证码智能识别-验证码图形码被可识别

4、验证码接口调用-验证码触发接口可枚举

图片验证码-识别插件-登录爆破&接口枚举

验证码识别绕过等技术适用于：
口令存在爆破，接口枚举调用，任意用户注册等安全问题
1、验证码简单机制-验证码过于简单可爆破
2、验证码重复使用-验证码验证机制可绕过
3、验证码智能识别-验证码图形码被可识别
4、验证码接口调用-验证码触发接口可枚举

接口收费版

项目地址：https://github.com/smxiazi/xp_CAPTCHA

Burp 加载插件

注册接口帐号充值

设置插件-填入帐号

数据包验证码填入参数

发包线程设置1后开始

接口枚举

那这里是不是会有一个问题，如果图形验证码能够批量识别，那么是不是就会存在短信轰炸风险

使用BP识别插件进行爆破

图片验证码-重复使用-某APP短信接口滥用

滑块验证码-宏命令-某Token&Sign&滑块案例

参考文章：https://blog.csdn.net/shuryuu/article/details/104576559

同理也可以适用在Token，sign在页面代码中自动获取自动填入后绕过验证

如果看不太懂或者觉得很麻烦，可以参考下面这个文章，原理都是一样的(都是从响应包提取数据放到请求包里)

token防爆破?
https://blog.csdn.net/m0_60571842/article/details/133898472

同理也可以适用在Token，sign在响应页面中自动获取自动填入请求数据包后绕过验证
 

这篇关于Day75：WEB攻防-验证码安全篇接口滥用识别插件复用绕过宏命令填入滑块类的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---