DVWA11_Insecure CAPTCHA(不安全的验证码)
漏洞原理
漏洞防御
环境搭建
Low
Medium
High
漏洞原理
CAPTCHA:Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。
Insecure CAPTCHA:不安全的验证码,指验证码设置不安全,可被绕过
漏洞防御
此类漏洞为验证码漏洞中绕过漏洞,可采用完善验证步骤,不要将验证步骤分开,提供攻击者中间攻击机会
环境搭建
根据提示设置recaptcha_key值随意,本环境为Insecure CAPTCHA(不安全的验证码)_验证码绕过漏洞
Low
代码分析
1.检查用户输入的验证码,验证通过后,服务器返回表单
2.客户端提交post请求,服务器完成更改密码的操作。
漏洞利用
后端校验明显存在逻辑漏洞,服务器仅仅通过检查Change、step=2 参数来判断用户是否已经输入了正确的验证码
环境问题,没显示验证码,但不影响,反正可以绕过
抓取密码修改数据包step=1改为step=2,绕过验证码
Medium
代码分析
较low增加了
1.passed_captcha=true条件校验
漏洞利用
增加了passed_captcha=true条件校验,当不满足验证码校验时返回You have not passed the CAPTCHA
尝试增加字段passed_captcha=true绕过
High
代码分析
High级别代码校验如下,后续也没啥验证类限制
1.g-recaptcha-response
2.User-Agent
漏洞利用
按照限制,抓取修改密码数据包,篡改,添加限制参数
User-Agent: reCAPTCHA
g-recaptcha-response=hidd3n_valu3
DVWA11_Insecure CAPTCHA(不安全的验证码)相关推荐
- captcha.js一个生成验证码的插件,使用js和canvas生成
一.captcha`captcha.js`是一个生成验证码的插件,使用js和canvas生成的,确保后端服务被暴力攻击,简单判断人机以及系统的安全性,体积小,功能多,支持配置. 验证码插件内容,包含1 ...
- DVWA--Insecure CAPTCHA(不安全的验证码)(全难度)
DVWA–Insecure CAPTCHA(不安全的验证码) Insecure CAPTCHA,意思是不安全的验证码,CAPTCHA是Completely Automated Public Turin ...
- php ci captcha使用,CodeIgniter框架验证码类库文件与用法示例
本文实例讲述了CodeIgniter框架验证码类库文件与用法.分享给大家供大家参考,具体如下: 折腾了我四五个小时,终于,ci的验证码类库成功的整出来了. 下面请看源码: 在application/l ...
- 用PyTorch训练模型识别captcha库生成的验证码
目录 制作训练数据集 用Dataloader加载自定义的Dataset 训练模型 识别验证码 总结与提高 源码下载 在本节,我们将使用深度学习框架PyTorch来训练模型去识别一种难度稍大一点的数字+ ...
- [Hei.Captcha] Asp.Net Core 跨平台验证码实现
写在前面 说起来比较丢脸.我们有个手机的验证码发送逻辑需要使用验证码,这块本来项目里面就有验证码绘制逻辑,.Net Framework的,使用的包是System.Drawing,我把这验证码绘制 ...
- 3dcaptcha php,php实现的Captcha验证码类实例
本文实例讲述了php实现的Captcha验证码类,在php程序设计中有着极其广泛的应用.分享给大家供大家参考.具体方法如下: 验证码类文件如下: /** Captcha 验证码类 * Date: 20 ...
- 验证码(CAPTCHA)
全自动区分计算机和人类的图灵测试(英语:Completely Automated Public Turing test to tell Computers and Humans Apart,简称CAP ...
- 一行代码实现验证码--Happy Captcha
使用 Happy Captcha,一行代码生成验证码. 这里做一个整理和记录: 引入jar包: <dependency><groupId>com.ramostear</g ...
- [Hei.Captcha] Asp.Net Core 跨平台图形验证码实现
写在前面 说起来比较丢脸.我们有个手机的验证码发送逻辑需要使用验证码,这块本来项目里面就有验证码绘制逻辑,.Net Framework的,使用的包是System.Drawing,我把这验证码绘制逻辑复 ...
最新文章
- 计算机c盘能分区吗,电脑C盘怎么分区
- 结型场效应管的结构、特性、参数
- reflectasm --反射工具
- 华为业务板块_复盘丨华为Mate30发布 电子板块再爆涨停潮
- PHP - 如何处理文件名乱码
- HDU1556 color the ball(前缀和)
- iOS原生的AVFoundation扫描二维码/条形码
- 财富、通胀与印钞——读《原则2 :应对变化中的世界秩序》(上)
- 学校的友宝自动售货机出故障 不知什么系统呵
- GB28181公网语音对讲
- 【NLP】文本匹配——Simple and Effective Text Matching with Richer Alignment Features阅读与总结(RE2)
- GAN实战——TinyMind书法字体生成练习赛开始报名拉!
- 最新算法只需一块GPU,就能算出蛋白质结构
- 5.18 优先队列(堆) 滑动窗口(二) 交换链表的节点
- 图片服务器之详解打war包
- SQuirrel 一直连接不上问题
- 网络设备构成及管理方式
- 西行漫记(18):操作即是数据
- 谷歌机器翻译Attention is All You Need
- 如何查询专利费减备案
热门文章
- 黑马12月开班时间出炉!戳文章免费试学!
- 如何写一份漂亮的测试用例?
- 解决squid启动Pinger自动退出问题
- win10设置虚拟内存_原来win10这样设置,电脑就能释放30G,比win7运行还顺畅
- 线性表应用 多项式加法
- 一堂精彩的全息教学公开课!
- 解决Oracle MySQL 安全漏洞(CVE-2021-22570)
- mysql 代码书写,【单选题】mysql 的代码书写规则是()
A. 不区分大小写 B. 必须全部大写 C. 必须全部小写 D. 以上答案都不对...
- css的scal()函数使用
- 【金猿产品展】拍乐云——新一代实时音视频云服务,构建云上的每一次美好互动...