漏洞原理

漏洞防御

环境搭建

Low

Medium

High

漏洞原理

CAPTCHA:Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。

Insecure CAPTCHA:不安全的验证码,指验证码设置不安全,可被绕过

漏洞防御

此类漏洞为验证码漏洞中绕过漏洞,可采用完善验证步骤,不要将验证步骤分开,提供攻击者中间攻击机会

环境搭建

根据提示设置recaptcha_key值随意,本环境为Insecure CAPTCHA(不安全的验证码)_验证码绕过漏洞

Low

代码分析

1.检查用户输入的验证码,验证通过后,服务器返回表单

2.客户端提交post请求,服务器完成更改密码的操作。

漏洞利用

后端校验明显存在逻辑漏洞,服务器仅仅通过检查Change、step=2 参数来判断用户是否已经输入了正确的验证码

环境问题,没显示验证码,但不影响,反正可以绕过

抓取密码修改数据包step=1改为step=2,绕过验证码

Medium

代码分析

较low增加了

1.passed_captcha=true条件校验

漏洞利用

增加了passed_captcha=true条件校验,当不满足验证码校验时返回You have not passed the CAPTCHA

尝试增加字段passed_captcha=true绕过

High

代码分析

High级别代码校验如下,后续也没啥验证类限制

1.g-recaptcha-response

2.User-Agent

漏洞利用

按照限制,抓取修改密码数据包,篡改,添加限制参数

User-Agent: reCAPTCHA

g-recaptcha-response=hidd3n_valu3

DVWA11_Insecure CAPTCHA(不安全的验证码)相关推荐

  1. captcha.js一个生成验证码的插件,使用js和canvas生成

    一.captcha`captcha.js`是一个生成验证码的插件,使用js和canvas生成的,确保后端服务被暴力攻击,简单判断人机以及系统的安全性,体积小,功能多,支持配置. 验证码插件内容,包含1 ...

  2. DVWA--Insecure CAPTCHA(不安全的验证码)(全难度)

    DVWA–Insecure CAPTCHA(不安全的验证码) Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turin ...

  3. php ci captcha使用,CodeIgniter框架验证码类库文件与用法示例

    本文实例讲述了CodeIgniter框架验证码类库文件与用法.分享给大家供大家参考,具体如下: 折腾了我四五个小时,终于,ci的验证码类库成功的整出来了. 下面请看源码: 在application/l ...

  4. 用PyTorch训练模型识别captcha库生成的验证码

    目录 制作训练数据集 用Dataloader加载自定义的Dataset 训练模型 识别验证码 总结与提高 源码下载 在本节,我们将使用深度学习框架PyTorch来训练模型去识别一种难度稍大一点的数字+ ...

  5. [Hei.Captcha] Asp.Net Core 跨平台验证码实现

     写在前面 说起来比较丢脸.我们有个手机的验证码发送逻辑需要使用验证码,这块本来项目里面就有验证码绘制逻辑,.Net Framework的,使用的包是System.Drawing,我把这验证码绘制 ...

  6. 3dcaptcha php,php实现的Captcha验证码类实例

    本文实例讲述了php实现的Captcha验证码类,在php程序设计中有着极其广泛的应用.分享给大家供大家参考.具体方法如下: 验证码类文件如下: /** Captcha 验证码类 * Date: 20 ...

  7. 验证码(CAPTCHA)

    全自动区分计算机和人类的图灵测试(英语:Completely Automated Public Turing test to tell Computers and Humans Apart,简称CAP ...

  8. 一行代码实现验证码--Happy Captcha

    使用 Happy Captcha,一行代码生成验证码. 这里做一个整理和记录: 引入jar包: <dependency><groupId>com.ramostear</g ...

  9. [Hei.Captcha] Asp.Net Core 跨平台图形验证码实现

    写在前面 说起来比较丢脸.我们有个手机的验证码发送逻辑需要使用验证码,这块本来项目里面就有验证码绘制逻辑,.Net Framework的,使用的包是System.Drawing,我把这验证码绘制逻辑复 ...

最新文章

  1. 计算机c盘能分区吗,电脑C盘怎么分区
  2. 结型场效应管的结构、特性、参数
  3. reflectasm --反射工具
  4. 华为业务板块_复盘丨华为Mate30发布 电子板块再爆涨停潮
  5. PHP - 如何处理文件名乱码
  6. HDU1556 color the ball(前缀和)
  7. iOS原生的AVFoundation扫描二维码/条形码
  8. 财富、通胀与印钞——读《原则2 :应对变化中的世界秩序》(上)
  9. 学校的友宝自动售货机出故障 不知什么系统呵
  10. GB28181公网语音对讲
  11. 【NLP】文本匹配——Simple and Effective Text Matching with Richer Alignment Features阅读与总结(RE2)
  12. GAN实战——TinyMind书法字体生成练习赛开始报名拉!
  13. 最新算法只需一块GPU,就能算出蛋白质结构
  14. 5.18 优先队列(堆) 滑动窗口(二) 交换链表的节点
  15. 图片服务器之详解打war包
  16. SQuirrel  一直连接不上问题
  17. 网络设备构成及管理方式
  18. 西行漫记(18):操作即是数据
  19. 谷歌机器翻译Attention is All You Need
  20. 如何查询专利费减备案

热门文章

  1. 黑马12月开班时间出炉!戳文章免费试学!
  2. 如何写一份漂亮的测试用例?
  3. 解决squid启动Pinger自动退出问题
  4. win10设置虚拟内存_原来win10这样设置,电脑就能释放30G,比win7运行还顺畅
  5. 线性表应用 多项式加法
  6. 一堂精彩的全息教学公开课!
  7. 解决Oracle MySQL 安全漏洞(CVE-2021-22570)
  8. mysql 代码书写,【单选题】mysql 的代码书写规则是() A. 不区分大小写 B. 必须全部大写 C. 必须全部小写 D. 以上答案都不对...
  9. css的scal()函数使用
  10. 【金猿产品展】拍乐云——新一代实时音视频云服务,构建云上的每一次美好互动...