验证码绕过、密码找回漏洞_图形验证码漏洞

注意：仅用于本人学习的笔记记录，禁止进行传播分享，一旦造成严重后果与本人无关！！！

一、验证码作用

验证码绕过、密码找回漏洞     逻辑漏洞

验证码：一种区分用户是计算机还是人的全自动程序

防止恶意爆破密码、论坛灌水

二、验证码绕过的常见姿势

验证码绕过：

        1.识别法：python编程+深度学习、神经网络的知识

        2.逻辑绕过:开发写这个验证码校验的时候逻辑产生了问题

逻辑绕过法（乌云案例分析平台）

1.前端绕过验证码

        抓包，数据包里面根根没有验证码的传参

2.设置了验证码没有检验

        内网系统、纯ip站点、校验服务有问题

3.验证码可重复使用

        放到repeter模块一直放包

4.空值绕过

        将验证码的传参参数删掉

5.验证码在html输出

        验证码写在html里面

6.验证码可控

        在请求传参中有个空值验证码的参数

7.验证码有规律

        时间戳的后几位

8.万能验证码

        例如只要输入000000就能绕过

9.验证码藏cookie里面

        看传参中出现几次验证码中的值

10.图片验证码太少

        验证码的图片量很少

多次失败后需要验证码：

        目的：提高用户体验性

        1.爆破账号

        2.XFF修改ip、代理池

        3.SESSION会话

                session会话 => 存在服务器上的

                cookie =>  存在客户端

                cookie代表你的身份 =>  它绑定了session

                默认情况下：cookie是真的随机值，你随便写写什么都行，但要符合cookie的位数

常见的账户名：

        admin

        a

        test

        root

        ceshi