专栏首页FreeBuf简单技巧绕过人机身份验证(Captcha)

简单技巧绕过人机身份验证(Captcha)

今天分享的Writeup是作者在目标网站漏洞测试中发现的一种简单的人机身份验证(Captcha)绕过方法,利用Chrome开发者工具对目标网站登录页面进行了简单的元素编辑就实现了Captcha绕过。

人机身份验证(Captcha)通常会出现在网站的注册、登录和密码重置页面,以下是目标网站在登录页面中布置的Captcha机制。

从上图中可以看到,用户只有在勾选了Captcha验证机制的“I‘m not a robot”之后,登录按钮(Sign-IN)才会启用显示以供用户点击。因此,基于这点,我右键点击了Sign-In按钮,然后用Chrome开发者工具的“元素检查”(Inspect Element )功能来查看Sign-In按钮的底层元素,这一看,竟然发现其在“提交”(Submit)动作之后,定义了“禁用”(Disable)属性,好吧,那我就把它改变成“启用”(Enable)试试看。

这一改,登录按钮(Sign-IN)显示且可点击了,好吧,我确实不是一个机器人,人机身份验证(Captcha)在这里成了摆设。

我好奇服务端的验证方式,于是就用BurpSuite对上述过程进行了抓包,发现服务端一开始都不对用户提交的Captcha操作做验证,因此,即使我把提交的Captcha会话内容删除了,一样可以跳转到登录页面,根本不需要触发其中的“启用”(Enable)属性就行。

我简单做了一个PoC发给了厂商,他们马上就做了反馈和整改。绕过人机身份验证(Captcha)的方法还有很多,这只是一个小技巧而已。

*参考来源:medium,clouds 编译整理,转载请注明来自 FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:clouds

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 火绒安全软件评测 | WitAwards 2016 「 年度安全产品」参评巡礼

    *本文原创作者: ArthurKiller,本文属“WitAwards 2016年度安全评选”专题报道,未经许可禁止转载 火绒,国内一款新兴的免费杀毒软件。该软...

    FB客服
  • 购物季?网购狂欢背后的渔夫和水坑

    11月、12月都是一场网络购物季的狂欢,无论是国内的”双十一“、”双十二“,还是美国的”黑五“和”网络星期一“,参与人数和创造的销售额每年都在刷新纪录,有钱的捧...

    FB客服
  • 准备好纸和笔,人肉计算比特币:每天0.67哈希值

    在这篇文章中,我们一起来看一看用纸和笔来人肉“挖”比特币的难度到底有多大。 实际上,用于挖矿的SHA-256算法其实还算是比较简单的了,而且可以手工计算出来。毫...

    FB客服
  • 使用Dajngo 通过代码添加xadmin用户和权限(组)

    写view的时候,直接继承LoginRequiredMixin,如果未登录,则跳转到登陆页面

    砸漏
  • 专栏 | 目标检测算法之YOLOv3及YOLOV3-Tiny

    昨天稍微填上了YOLOv2损失函数的坑,然后我在知乎关注了一个有趣的问题,地址是:https://www.zhihu.com/question/35700517...

    AI研习社
  • 剑指Offer-合并两个排序的链表

    题目描述 输入两个单调递增的链表,输出两个链表合成后的链表,当然我们需要合成后的链表满足单调不减规则。 思路 思路一(迭代): 首先处理空链表,当其中一个为空链...

    武培轩
  • 【DB笔试面试586】在Oracle中,什么是自适应游标共享(1)?

    绑定变量窥探的副作用就在于,使用了绑定变量的目标SQL只会沿用之前硬解析时所产生的解析树和执行计划,即使这种沿用完全不适合于当前的情形。在Oracle 10g及...

    小麦苗DBA宝典
  • Uber 下一代支付平台的系统架构设计

    作为一个平台,Uber(优步)邀请用户利用它,从它身上赚钱,并因它而快乐。每天,Uber 的服务超过 1800 万次请求,使人们在谋生的同时能够自由行动、开阔思...

    guichen1013
  • Web Components不依赖前端框架

    此文仅做了解,个人觉得web components发展起来还是需要一些时间的,并不着急掌握

    javascript.shop
  • 安恒预警:Weblogic CVE-2015-4852补丁无效,请及时安装新补丁

    Oracle在2015年11月官方发布了一个Weblogic Java反序列化漏洞,CVE编号“CVE-2015-4852”,官方公告: https://www...

    安恒信息

扫码关注云+社区

领取腾讯云代金券