在一些登陆中,会有验证码来对一些破解行为进行阻挡,但它们一定有用吗?
查证有无作用的方法很简单 首先还是 随便登一下 试试,如果不进行验证码输入的话 ,它会进行提示
当我们输入错误的验证码,他也会进行提示
输入正确的验证码,他会说username or password is not exists~
点开页面的源代码
发现了这样一段代码
很显然实在前端实现了验证码生成和验证,我们再去看一下后台的验证码
用到Burp Suite的Reapeater模块
我们尝试绕过验证码,发现后端并没有进行验证码的验证,所以这个验证码是没有作用的
这样我们可以按照上次的步骤 直接进行暴力破解
依然使用cluster bomb
成功
PS:我在前面还是遇到了一点小问题
这个速度我弄的太快了,导致软件报出了几个错误,把速度降到1就正常了。
