绕过验证码

该文是 【玄山翻译计划】第二篇 绕过验证码

部分翻译预览：

translator：陈殷

我并不是特意在寻找验证码绕过的姿势，但是一个项目指出发现验证码绕过即可获得奖赏。

所以我开始寻找验证码最常见的地方，比如注册、登录和密码重置页面，我找到的那个是在登录页面。

如您所见，登录按钮已禁用，只有在我们点击“I‘m not a robot”之后才启用。

由于已禁用，因此我迅速右键单击了该按钮，然后单击了“检查元素”，并将禁用的参数更改为启用。

该按钮现已启用，我可以单击进行登陆。

因此，我输入了电子邮件和密码，并且无需单击“I’m not a robot ”即可登录。

成功ByPass验证码设置。

我很好奇该请求是什么样子的，因此我打开了burpsuite并查看了该请求，发现服务器最初并没有检查验证码的响应。

我可以简单地删除验证码响应并将其发送，然后将我重定向到仪表板。

我不需要启用按钮，我只需要查看请求并删除验证码响应。

感谢！

说明：暂时不提供单篇原文下载，专辑结束后会放出【英文原版文档+译文文档+pdf版本】，请关注“玄魂工作室”或“山丘安全攻防实验室”。