验证码绕过与密码找回漏洞

一、验证码简介

验证码（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart”（全自动区分计算机和人类的图灵测试）的缩写，是一种区分用户是计算机还是人的公共全自动程序。

验证码可以防止：
（1）恶意破解密码
（2）刷票
（3）论坛灌水（使用Burp不断发送数据包，替换UA、Accept等无关紧要的数据为Null payloads，甚至自己添加一个数据）
（4）有效防止黑客对某一个特定注册用户用特定程序暴力破解的方式，进行不断的登陆尝试

实际上使用验证码是现在很多网站通行的方式。

验证码的种类：中文、数字、点击字符、拖动滑块、旋转校正、数学运算

验证码的核心是一个由计算机生成并评判的问题，这个问题计算机无法解答，但是人类可以解答，回答出问题的用户被认为是人类。

二、验证码绕过

验证码绕过有两种流派：
（1）图像识别，需要编写脚本
（2）逻辑绕过（后端代码有漏洞）

设置了验证码并不是完全可靠，很多时候都存在验证码绕过的情况。

漏洞案例

假设在登录处：
1、前端检验验证码，但没有后端检验。
通过JS判断能否上传。直接使用Burp抓包，然后跑数据包，绕过前端验证码的阻碍

2、设置了验证码，但是没有校验，输入错误的验证码也可以登录

3、验证码可以重复使用
例如现在的验证码是1111，登录失败后验证码会改变，但是继续输入1111却判定验证码正确。较为常见，有的验证码可以持续30分钟依旧有效。

4、验证码空值绕过
例如，抓取一个数据包，发现登录参数是user=admin&password=admin&yzm=4123。 yzm是验证码参数，如果去掉yzm的传参，我们就可以绕过验证码机制，直接传参user=admin&password=admin，验证码就失效了。

#开发的思路是，只有验证码存在，才进入验证的环节，如果不存在，直接跳过
if(isset($_REQUEST['yzm'])){}

5、验证码干扰过低，轻松使用脚本识别

6、验证码会在HTML页面输出
在HTML代码中显示了验证码，开发设计不走心。

7、验证码可控制
URL里有一个传参，可以控制验证码的开启与关闭，只要输入关闭的指令，就可以将验证码关闭。

8、验证码有规律
例如时间戳的后6位、rand函数进行随机数（伪随机函数可计算）

9、万能验证码
例如无论验证码是什么，只要输入000000就能直接绕过

10、验证码藏在Cookie里面
分析Cookie是否存在验证码的参数

11、图片验证码，类型太少，容易识别

12、多次登录后才出现验证码绕过：
简单地说，就是第一次输错密码，不需要验证码
（1）基于session：简单地说，就是基于Cookie

（2）基于IP：

（3）基于用户：爆破用户名，而非爆破密码
简单地说，就是输错三次密码就不再允许输入，故设置一个密码，爆破用户名。

企业、高校的网站会给员工、学生设置通用密码，这就是弱密码的来源之一。

随着社会对信息安全的重视，类似于SQL注入、XSS、文件上传等漏洞越来越少，但逻辑漏洞还是大量存在。

三、密码找回漏洞

区分身份的验证码：与区分用户是计算机还是人的公共全自动程序验证码不同，此类验证码是来证明身份的，例如短信验证码、语音验证码等等。

当忘记了QQ密码时，需要找回密码，此时要求把APP显示的动态密码填入框里，一般而言，手机验证码的时间又5-30分钟，如果没有对尝试做限制，就可以进行穷举，跑出验证码修改他人的密码。

找回密码有两种常用方法：
（1）找回密码，往邮箱发送明文或密文的密码，或者发送手机验证码，通过这样的方法来判断是否是本人

（2）发送一个重置密码的链接到邮箱

常见找回密码漏洞：

1、验证码发送后由前端返回
前端返回验证码，在返回包中直接显示

2、验证码无次数限制可爆破
验证码有较长的持续时间，且网站未作出限制，即可爆破，当然，如果验证码只允许提交一次，则无法爆破。

3、验证码可控

4、直接修改密码页面

5、越权漏洞
给用户A的手机发送短信验证码，抓包，将手机号码修改为自己的，即可将验证码发送到自己的手机上。

云服务器一般有两层防护，一层是云服务器对外的，一层是针对内网隔离的。

6、密保
在注册之前，预先设定一个密保问题，忘记密码时，通过此密保进行认证，认证成功进入密码修改页面。
（1）密保问题容易被猜测，例如很多的学校账号知道学号和身份证号码就可以重置校园通的密码。
（2）密保问题答案在页面中显示，数据包里面可能自带了密保答案，隐藏在在JS里面。