验证码安全
利用形式
1、爆破 字典暴力破解
2、识别
3、复用
4、回显
5、绕过
常见类型:图片,手机或邮箱,语音,操作等
危害:权限泄漏,短信轰炸,恶意注册,任意用户操作等
验证码识别插件工具使用
Pkav_Http_Fuzz , captcha-killer、打码平台等
token 安全
验证中可存在绕过可继续后续测试
token 爆破,token客户端回显等
利用形式
1、爆破
2、本地回显
找回重置机制
客户端回显,Response 状态值,验证码爆破,找回流程绕过
客户端回显:通过抓包或者浏览器找得到验证码
Response状态值:修改状态值进行绕过客户端验证
验证码爆破:通过暴力破解
找回流程绕过:跳过安全验证得步骤
实验
验证码识别插件及工具操作演示 http://www.isaipu.net/manage/login
验证码绕过本地演示-pikachu
Token回显绕过登录爆破演示-pikachu
手机邮箱验证码逻辑-客户端回显
找回密码验证码逻辑-爆破测试
绑定手机验证码逻辑-状态值篡改-实例 福利期货APP演示 https://my.pcauto.com.cn/
涉及资源
http://downcode.com/downcode/j_16621.shtml PHP云人才系统3.2源码下载
http://www.pc6.com/az/621330.html 福利期货APP下载
https://www.cnblogs.com/hy627/p/14230099.html 重置密码之验证流程防绕过
https://pan.baidu.com/s/12gMVx4DK-ATTANBWpkmK0w 提取码:qx2c Pkav_Http_Fuzz工具下载
https://www.cnblogs.com/cwkiller/p/12659549.html 使用burp插件captcha-killer识别图片验证码
https://github.com/c0ny1/captcha-killer/releases/tag/0.1.2 captcha-killer插件下载
https://www.cnblogs.com/yufusec/p/9179625.html Burpsuite模块—-Intruder模块详解