歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

簡單技巧繞過人機身份驗證(Captcha)

來源:本站整理 作者:佚名 時間:2020-01-23 TAG: 我要投稿

今天分享的Writeup是作者在目標網站漏洞測試中發現的一種簡單的人機身份驗證(Captcha)繞過方法,利用Chrome開發者工具對目標網站登錄頁面進行了簡單的元素編輯就實現了Captcha繞過。
人機身份驗證(Captcha)通常會出現在網站的注冊、登錄和密碼重置頁面,以下是目標網站在登錄頁面中布置的Captcha機制。

從上圖中可以看到,用戶只有在勾選了Captcha驗證機制的“I‘m not a robot”之后,登錄按鈕(Sign-IN)才會啟用顯示以供用戶點擊。因此,基于這點,我右鍵點擊了Sign-In按鈕,然后用Chrome開發者工具的“元素檢查”(Inspect Element )功能來查看Sign-In按鈕的底層元素,這一看,竟然發現其在“提交”(Submit)動作之后,定義了“禁用”(Disable)屬性,好吧,那我就把它改變成“啟用”(Enable)試試看。

這一改,登錄按鈕(Sign-IN)顯示且可點擊了,好吧,我確實不是一個機器人,人機身份驗證(Captcha)在這里成了擺設。

我好奇服務端的驗證方式,于是就用BurpSuite對上述過程進行了抓包,發現服務端一開始都不對用戶提交的Captcha操作做驗證,因此,即使我把提交的Captcha會話內容刪除了,一樣可以跳轉到登錄頁面,根本不需要觸發其中的“啟用”(Enable)屬性就行。

我簡單做了一個PoC發給了廠商,他們馬上就做了反饋和整改。繞過人機身份驗證(Captcha)的方法還有很多,這只是一個小技巧而已。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 甘肃11选5开奖号码 大圣闹海捕鱼技巧 浙江游戏大厅官网 下载安徽快三开奖结果 青海11选五彩票 湖北30选5开奖公告95期 广西快乐十分 手机麻将算赌博吗怎么判刑 十大融资炒股平台 4399小游戏四人打麻将 十分快三开奖记录 重庆快乐十分直播 3d试机号彩宝网 酒店一条龙都包括什么 蓝筹股权重股是什么意思 在家做兼职最靠谱的赚钱快