业务逻辑漏洞—验证码绕过

验证码绕过第一关:

前端验证码绕过:

打开pikachu靶场:

输入错误的验证码时会出现弹窗(alert)此时我们猜测这可能存在着前端限制

如果验证码有前端限制(只在前端有作用),不影响后端的操作

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

猜测验证码是前端还是后端:

  1. 进行断网测试:如果断开网络验证码没有则就是前端存在验证码,否则就是后端存在。

  2. 抓包测试:挂上代理随便输入发现提示验证码输入错误但是没有包显示没有抓到包可以猜测属于前端验证。

验证码复用:
在这里插入图片描述

将验证码删掉:

发现显示还是验证码正确的回显

在这里插入图片描述

说明登录的后端没有处理验证码的程序

验证码绕过了解吗?

了解,验证码绕过分为前端验证码绕过和后端验证码绕过,其前端验证码绕过,根据逻辑捉一个包(老老实实按照流程来)由于他是前端的验证,直接在抓到的包里直接修改,这叫一个复用的问题进而进行一个爆破。

验证码绕过第二关:

后端验证码绕过:

在这里插入图片描述

在这里插入图片描述

此时前端的验证码不要动继续在bp中修改数据,验证码成功绕过。

画图显示:

在这里插入图片描述

在此时都没有触发前端验证码发生改变的前提条件。

由于服务端在验证验证码的时候是根据前端验证码实现的只要攻击者没有触发前端验证码导致更新验证码时

他就可以实现验证码无限复用。

采用验证码爆破方式:

四个数字的验证码,验证码有效期为五分钟

通过忘记密码,会给手机发送验证码(证明身份)

服务器生成四个验证码里大概有一万种

使用字典爆破验证码差不多也就半分钟就爆破成功。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/640854.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

(十一)Head first design patterns状态模式(c++)

状态模式 如何去描述状态机? 假设你需要实例化一台电梯,并模仿出电梯的四个状态:开启、关闭、运行、停止。也许你会这么写 class ILift{ public:virtual void open(){}virtual void close(){}virtual void run(){}virtual void stop(){} }…

基于SpringBoot Vue二手闲置物品交易系统

大家好✌!我是Dwzun。很高兴你能来阅读我,我会陆续更新Java后端、前端、数据库、项目案例等相关知识点总结,还为大家分享优质的实战项目,本人在Java项目开发领域有多年的经验,陆续会更新更多优质的Java实战项目&#x…

4小时精通MyBatisPlus框架

目录 1.介绍 2.快速入门 2.1.环境准备 2.2.快速开始 2.2.1引入依赖 2.2.2.定义Mapper ​编辑 2.2.3.测试 2.3.常见注解 ​编辑 2.3.1.TableName 2.3.2.TableId 2.3.3.TableField 2.4.常见配置 3.核心功能 3.1.条件构造器 3.1.1.QueryWrapper 3.1.2.UpdateWra…

Flowable 加签和减签

一:示例 Deployment deploy repositoryService.createDeployment().name("会签流程").addClasspathResource("processes/CounterSignProcess.bpmn").deploy();ProcessInstance processInstance runtimeService.startProcessInstanceByKey(&qu…

【操作系统】同步和互斥详细讲解(算法+源码)

博主介绍:✌全网粉丝喜爱、前后端领域优质创作者、本质互联网精神、坚持优质作品共享、掘金/腾讯云/阿里云等平台优质作者、擅长前后端项目开发和毕业项目实战✌有需要可以联系作者我哦! 🍅附上相关C语言版源码讲解🍅 &#x1f44…

hot100:11滑动窗口的最大值

题目链接: 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 算法思想: 法一(暴力): 暴力的算法是我刚开始做这个题目使用的方法,通过了测试用例,但是提交的时候超出…

记录一次从有道云笔记迁移到语雀笔记

推荐阅读 智能化校园:深入探讨云端管理系统设计与实现(一) 智能化校园:深入探讨云端管理系统设计与实现(二) 1、安装git,python3等准备工作 文章中标注python3,为避免与python2 冲…

【Java-框架-SpringSecurity】单点登录(认证和授权)- 随笔

项目文件; 【1】 【2】 【3】 【4】 【5】 【6】 【7】 【8】

SpringBoot 连接 OceanBase 数据库示例程序报错连接被拒绝

使用OceanBase官方的:SpringBoot 连接 OceanBase 数据库示例 1. 解释一: jdbc:oceanbase://host:port/schema_name?user$user_name&password$password&useSSLfalse&useUnicodetrue&characterEncodingutf-8参数说明: host&…

Redis常见数据结构以及使用场景分别是什么

String String数据结构是简单的key-value类型,value其实不仅可以是String,也可以是数字。 常规key-value缓存应用; 常规计数:微博数,粉丝数等。 #Hash Hash 是一个 string 类型的 field 和 value 的映射表&#xff…

【小白学机器学习3】关于最简单的线性回归,和用最小二次法评估线性回归效果, 最速下降法求函数的最小值

目录 1 什么是回归分析 1.1 什么是线性回归 1.2非线性回归 2 数据和判断方法 2.1 原始数据 2.2 判断方法:最小二乘法 3 关于线性回归的实测 3.1 用直线模拟 3.2 怎么判断哪个线性模拟拟合更好呢? 3.2.1 判断标准 3.2.2 最小二乘法 3.2.3 高维…

【征服redis16】收官-redis缓存一致性问题解决方案

今天我们来写redis最后一篇:redis作为缓存时如何与数据库实现数据一致的问题。 最近看redis看得有点麻了,这篇就简单描述吧 目录 1.什么是缓存与数据库一致性问题 1.1 缓存一致性的概念 1.2 缓存不一致的场景 2.缓存不一致的解决思路 1.什么是缓存…

HarmonyOS 通过Web组件嵌套网络应用

我们今天来说说 在程序中嵌套一个网址地址 HarmonyOS中是通过一个简单的WEB组件来实现 网络应用就是相当于网址地址 通过链接将应用嵌入到手机当中 WEB组件需要两个参数 一个是 src 地址 要嵌套的网址 另一个是 控制器 我们可以先编写代码如下 import webview from "o…

力扣hot100 环形链表 快慢指针 计步器

Problem: 141. 环形链表 文章目录 思路💖 快慢指针法💖 计步器法 思路 👨‍🏫 参考题解 💖 快慢指针法 时间复杂度: O ( n ) O(n) O(n) 空间复杂度: O ( 1 ) O(1) O(1) /*** Definition for singly-linked list…

python(57): 类与实例化

1.__new__ 与 __init__ class Test(object):def __init__(self, *args, **kwargs): #第一个参数是当前类实例print("in init...")def __new__(cls, *args, **kwargs):print("in new...")return object.__new__(cls, *args, **kwargs) #第一个参数当前类…

单纯的人工智能分级很可能是个伪命题

对许多人而言,人工智能分级像是一个真实存在的概念。人工智能可以根据其智能水平的不同,分为不同的级别。例如,常见的人工智能分级有弱人工智能和强人工智能。 弱人工智能是指在特定任务上能够表现出人类智能水平,但在其他任务上无…

【QT+QGIS跨平台编译】之五:【curl+Qt跨平台编译】(一套代码、一套框架,跨平台编译)

文章目录 一、curl介绍二、curl下载三、文件分析四、pro文件五、编译实践 一、curl介绍 curl(CommandLine Uniform Resource Locator)主要功能就是用不同的协议连接和沟通不同的服务器,相当封装了的socket。 libcurl支持http, https, ftp, g…

大模型实战营Day5笔记

大模型部署背景 大模型部署是指将训练好的模型在特定的软硬件环境中启动的过程,使模型能够接收输入并返回预测结果。大模型的内存开销巨大,7B模型仅权重需要14G内存。另外大模型是自回归生成,需要缓存Attention的 k/v。 LMDeploy 简…

超简单的OCR模块:cnocr

前言 毫无疑问的是,关于人工智能方向,python真的十分方便和有效。 这里呢,我将介绍python众多OCR模块中一个比较出色的模块:cnocr 模块介绍 cnocr是一个基于PyTorch的开源OCR库,它提供了一系列功能强大的中文OCR模型和…

小型园区组网实例

目录 拓扑需求IP规划路由配置交换机配置NAT配置ACL配置DHCP配置配置过程:配置结果: OSPF配置链路聚合配置配置过程: 网络测试 拓扑 需求 企业网络信息服务平台需实现功能:企业网站服务器、FTP服务器、DNS服务器。企业ip分配地址段…