如何简单绕过人机身份验证Captcha

今天分享的Writeup是作者在目标网站漏洞测试中发现的一种简单人机身份验证(Captcha)绕过方法,利用Chrome开发者工具对目标网站登录页面进行了简单的元素编辑就实现了Captcha绕过。

人机身份验证(Captcha)通常会出现在网站的注册、登录和密码重置页面,以下是目标网站在登录页面中布置的Captcha机制。

如何简单绕过人机身份验证Captcha

从上图中可以看到,用户只有在勾选了Captcha验证机制的“I‘m not a robot”之后,登录按钮(Sign-IN)才会启用显示以供用户点击。因此,基于这点,我右键点击了Sign-In按钮,然后用Chrome开发者工具的“元素检查”(Inspect Element )功能来查看Sign-In按钮的底层元素,这一看,竟然发现其在“提交”(Submit)动作之后,定义了“禁用”(Disable)属性,好吧,那我就把它改变成“启用”(Enable)试试看。

如何简单绕过人机身份验证Captcha

这一改,登录按钮(Sign-IN)显示且可点击了,好吧,我确实不是一个机器人,人机身份验证(Captcha)在这里成了摆设。

如何简单绕过人机身份验证Captcha

我好奇服务端的验证方式,于是就用BurpSuite对上述过程进行了抓包,发现服务端一开始都不对用户提交的Captcha操作做验证,因此,即使我把提交的Captcha会话内容删除了,一样可以跳转到登录页面,根本不需要触发其中的“启用”(Enable)属性就行。

如何简单绕过人机身份验证Captcha

看完上述内容,你们掌握如何简单绕过人机身份验证Captcha的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注亿速云行业资讯频道,感谢各位的阅读!

文章标题:如何简单绕过人机身份验证Captcha,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/25192

(1)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
亿速云的头像亿速云认证作者
上一篇 2022年9月15日 上午1:49
下一篇 2022年9月15日 上午1:50

相关推荐

  • sql与mysql有哪些区别

    区别:1、SQL是一种结构化查询语言,而MySQL是一种数据库软件,使用SQL语言来查询数据库;2、SQL不提供连接工具,而MySQL提供工具,可用一个名为“MySQL工作台”的集成工具来设计和开发数据库;3、SQL用于查询和操作数据库系统,而MySQL用于以表格格式处理、存储、检索、修改和管理数据…

    2022年9月24日
    1.1K00
  • C#非托管泄漏中HEAP_ENTRY的Size为什么会对不上

    一:背景 1. 讲故事 前段时间有位朋友在分析他的非托管泄漏时,发现NT堆的_HEAP_ENTRY 的 Size 和 !heap 命令中的 Size 对不上,来咨询是怎么回事? 比如下面这段输出: 0:000> !heap 0000000000550000 -aIndex Address Na…

    2022年9月22日
    43800
  • Word如何截图

    Word截图方法 方法一、快捷键截图 屏幕截图:“Ctrl+Alt+X” 截屏时隐藏当前窗口:“Ctrl+Alt+C” 方法二、软件自带截图功能 1、打开Word界面 2、点击“插入”找到“截屏” 3、截屏后Word中会多出图片就是所截取的内容 “Word如何截图”的内容就介绍到这里了,感谢大家的阅…

    2022年9月8日
    1.2K00
  • Vuex怎么获取getter对象中的值

    Vuex获取getter对象中的值 getter取值与state取值具有相似性 1.直接从根实例获取 // main.js中,把store注册在根实例下,可使用this.$stroe.getters直接取值computed: { testNum1() { return this.$store.get…

    2022年8月31日
    78100
  • 用办公协作思维提升新媒体运营工作效率

    新媒体运营行业是随着互联网发展而来的职位,在每个公司都担任着推广营销的重要工作。它要求相关从业者 “懂营销” ,可以运用良好的推广营销方式,善于利用热点事件,实现有效的品牌或产品营销。除此之外,也要精于内容和策划,对数据分析也要在行。 简单来说就是:“会写文章,能P图,玩的了创意…

    2022年3月20日
    35400
  • 怎么用vlookup函数完成图书名称自动填充

    vlookup函数完成图书名称自动填充的方法 名列前茅步,在需要填充的位置输入“=vlookup()” 第二步,选中你依据的查找项目,这里我们选择“图书编号” 第三步,进入编号对照表格,框选需要查找的区域,这里我们选择图书编号和图书名称这两栏。 第四步,查看需要填充的内容列数,这里是2就输入2。 第…

    2022年9月22日
    70300
  • 电脑键盘不能打字变成快捷键了怎么解决

    电脑键盘不能打字变成快捷键解决方法 名列前茅种方法 最简单的就是重启一下电脑,方便快捷的解决问题。 第二种方法 1,一般情况下是电脑键盘上的“windows“键出问题了,应该是压下后未弹起,可以先检查一下。 “windows“键就是ctrl和alt键之间的 2,WIN键(也就是那个开机四个方块图样的…

    2022年9月6日
    5.2K00
  • 如何实现C++程序释放后使用导致的漏洞分析

    1、释放后使用 当动态分配的内存释放时,该内存的内容是不确定的,有可能保持完整并可以被访问,因为什么时候重新分配或回收释放的内存块是内存管理程序决定的,但是,也可能该内存的内容已经被改变,导致意外的程序行为。因此,当内存释放之后,保证不再对它进行写入或读取。 2、 释放后使用的危害 由内存管理不当导…

    2022年9月20日
    38900
  • mysql主从复制怎么理解

    在mysql中,主从复制是指数据可以从一个MySQL数据库服务器主节点复制到一个或多个从节点,默认采用异步复制方式。采用主从复制的好处:1、让主库负责写,从库负责读,当主库出现了锁表的情景,通过读从库也可以保证业务的正常运作;2、可以做数据的热备;3、进行架构的扩展,可降低磁盘I/O访问的频率,提高…

    2022年9月20日
    61700
  • windows ecshop模板如何修改

    ecshop模板修改方法: 1、首先我们下载一个模板,将他放入软件目录下的“themes”文件夹。 2、接着打开ecshop,点击“模板管理”下的“模板选择” 3、然后点击下方你要更换的模板。(建议备份当前模板) 4、网站会弹出提示,如图所示,点击“确定” 5、修改完成后去到网站,就可以发现模板已经…

    2022年9月22日
    36400
站长微信
站长微信
电话联系

400-800-1024

工作日9:30-21:00在线

分享本页
返回顶部