Web 攻防之业务安全:验证码自动识别 测试.
Web 攻防之业务安全:不安全验证码 测试
验证码安全 也可以叫《全自动区分计算机和人类的图灵测试》,是一种区分用户是计算机还是人的共全自动程序。可以防止:恶意破解密码、刷票、论坛灌水。可以有效防止黑客对某一个特定用户用特定程序暴力破解方式进行不断的登陆尝试。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用产就可以被认为是人类.
目录:
验证码的认证流程:
验证码 作用:
验证码 分类:
验证码安全 问题:
不安全验证码测试 步骤:
(1)在登录的页面输入账号,然后 随便输入一个密码.
(2)用 Burp 抓一下包,然后把数据包复制到 验证码爆破工具 里面去.
(3)添加 账号 和 密码 的标记,还有导入字典.
(4)设置 验证码 的识别.
(5)设置 重放选项.
(6)进行 爆破.
(7)拿爆破的 账号 和 密码 进行登录.(登录成功.)
修改建议:
免责声明:
严禁利用本文章中所提到的工具和技术进行非法攻击,否则后果自负,上传者不承担任何责任。
验证码的认证流程:
客户端请求登录页面,后台生成验证码:
(1)后台使用算法生成图片,并将图片发送给客户端.
(2)同时将算法生成的值全局赋值存到SESSION中.
校验验证码∶
(1)客户端将认证信息和验证码一同提交.
(2)后台对提交的验证码与SESSION里面的进行比较.
客户端重新刷新页面,再次生成新的验证码:
验证码算法中一般包含随机函数,所以每次刷新都会改变.
验证码 作用:
(1)防止 恶意破解密码、刷票、论坛灌水,刷页.
(2)可以有效防止 黑客对某一个特定用户用特定程序暴力破解方式进行不断的登陆尝试.
验证码 分类:
(1)动画验证码 (2)手机短信验证码 (3)手机语言验证码
(4)视频验证码
验证码安全 问题:
1.客户端问题:(1)使用前端JS代码实现验证码 (2)验证码输出在 html 中. (3)验证码输出在 cookie 中
2.服务端问题:(1)验证码不过期,没有及时销毁会话导致验证码复用这个验证码. (2)没有进行非空判断.
3.其他类型验证码绕过(" 调试功能 " 还是设计缺陷 ?)
4.验证码太简单,容易被机器识别.
5.爆破验证码.
靶场:
靶场源码 链接:https://pan.baidu.com/s/1GpXUdy9KPJRJpvIeKRo3bg
提取码:tian
工具下载:
验证码爆破工具 链接:https://pan.baidu.com/s/1ZH5eUlMZnUoQPrecN0ZM4w
提取码:tian
不安全验证码测试 步骤:
(1)在登录的页面输入账号,然后 随便输入一个密码.
(2)用 Burp 抓一下包,然后把数据包复制到 验证码爆破工具 里面去.
(3)添加 账号 和 密码 的标记,还有导入字典.
(4)设置 验证码 的识别.
(5)设置 重放选项.
(6)进行 爆破.
(7)拿爆破的 账号 和 密码 进行登录.(登录成功.)
修改建议:
(1)强制要求输入验证码,否则 必须实施IP策略(注意不要被 X-Forwarded-For 绕过了!)
(2)验证码只能用一次,用完立即过期!不能再次使用了.
(3)验证码不要太弱(要使用 扭曲、变形、干扰线条、干扰背景色、变换字体等.)
(4)大网站最好统一安全验证码,各处使用同一个验证码接口.
参考链接:Web安全 验证码绕过_哔哩哔哩_bilibili
Web 攻防之业务安全:验证码自动识别 测试.相关推荐
- Web 攻防之业务安全:验证码重复使用 || 前端JS代码实现的验证码 测试.
Web 攻防之业务安全:不安全验证码 测试. 验证码安全 也可以叫<全自动区分计算机和人类的图灵测试>,是一种区分用户是计算机还是人的共全自动程序.可以防止:恶意破解密码.刷票.论坛灌水. ...
- Web 攻防之业务安全:越权访问漏洞 测试.
Web 攻防之业务安全:越权访问漏洞 测试. 由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作.(比如:通过更换的某个 ID 之类的 ...
- Web 攻防之业务安全:登录失败信息测试.
Web 攻防之业务安全:登录失败信息测试 业务安全是指保护业务系统免受安全威胁的措施或手段.广义的业务安全应包括业务运行的软硬件平台(操作系统.数据库,中间件等).业务系统自身(软件或设备).业务所提 ...
- Web 攻防之业务安全:密码找回安全案例总结.
Web 攻防之业务安全:密码找回安全案例总结 业务安全是指保护业务系统免受安全威胁的措施或手段.广义的业务安全应包括业务运行的软硬件平台(操作系统.数据库,中间件等).业务系统自身(软件或设备).业务 ...
- Web 攻防之业务安全:账号安全案例总结.
Web 攻防之业务安全:账号安全案例总结 业务安全是指保护业务系统免受安全威胁的措施或手段.广义的业务安全应包括业务运行的软硬件平台(操作系统.数据库,中间件等).业务系统自身(软件或设备).业务所提 ...
- 告别手动输入验证码!Web自动化测试带你解锁验证码处理和Cookie机制,跨越测试瓶颈!
Web自动化之验证码处理及cookie机制 在Web自动化测试中,验证码的处理一直是一个难点.如果没有自动化处理方式,手动输入验证码将会非常耗时且容易出错.本文将为大家介绍如何通过Python实现验证 ...
- web网站验证码自动识别
验证码自动识别 在很多WEB网站登录的时候,都需要输入验证码,Python提供了一些库(例如常用的OCR库)来识别和使用在线图片中的文字. 将图像翻译成文字一般被称为光学文字识别(Optical Ch ...
- Web攻防之暴力破解(何足道版)
然后发在先知平台备份了一份 1 @序 攻防之初,大多为绕过既有逻辑和认证,以Getshell为节点,不管是SQL注入获得管理员数据还是XSS 获得后台cookie,大多数是为了后台的登录权限,假若我们 ...
- Web攻防--基础入门--特定漏洞
免责声明:由于传播.利用本文章所提供的信息而造成的任何直接或间接的后果损失,均有使用者本人承担负责,作者不为此承担任何责任,一旦造成后果请自行承担!!! 前言:一个梦想成为乌云核心白帽子的信安小白,该 ...
最新文章
- ios开发--常用的高效开发的宏
- OpenCASCADE:Modeling Data之3D几何
- 虚拟硬盘VHD的程式化挂载方式
- 推自己的镜像到网易云
- 【Python + Selenium】之JS定位总结
- 第一次做项目经理的感触和启发
- python制作的项目进度管理_项目管理必备——使用燃尽图监控项目整体进度
- MATLAB利用小波分析提取周期
- 视频专辑:LAMP兄弟连李明老师2011年新版原创Linux视频教程
- 实现在线预览office文档(word,excel,ppt)的几种方法
- STC8H开发(十四): I2C驱动RX8025T高精度实时时钟芯片
- ognl以及令牌以及开头的一点方法
- 考研数学:常见的初等函数求导公式以及其对应的积分公式
- 【pyqt5学习】—— 滑动条Qslider、计数器QSpinBox学习
- ch341a i2c 安卓_CH341-I2C-labview-all-vision CH341A的I2C接口Labview all vision - 下载 - 搜珍网...
- Windows10系统下电脑时间不对,怎么办?
- linux c计算时间差值,获取时间和计算时间差的几种方法总结,时间差几种方法...
- Android 自定义Activity的主题
- [2022-09-20]神经网络与深度学习第2章-simple classification
- 印度社交市场:谁能挑战Facebook们的霸主地位?