Opération et maintenanceSécuritéComment contourner facilement le Captcha d'authentification homme-machineComment contourner facilement le Captcha d'authentification homme-machine
Le texte partagé aujourd'hui est une simple méthode de contournement de l'authentification homme-machine (Captcha) découverte par l'auteur lors du test de vulnérabilité du site Web cible. Les outils de développement Chrome sont utilisés pour effectuer simplement une simple modification sur la cible. page de connexion au site Web. L'édition de l'élément réalise le contournement du Captcha.
L'authentification homme-machine (Captcha) apparaît généralement sur les pages d'enregistrement, de connexion et de réinitialisation du mot de passe du site Web. Voici le mécanisme Captcha organisé par le site Web cible dans la page de connexion.
Comme vous pouvez le voir sur l'image ci-dessus, l'utilisateur ne peut cliquer sur le bouton de connexion qu'après avoir coché "Je ne suis pas un robot" du Captcha Le mécanisme de vérification (Connexion) permettra aux utilisateurs de cliquer sur l'affichage. Par conséquent, sur cette base, j'ai cliqué avec le bouton droit sur le bouton de connexion, puis j'ai utilisé la fonction « Inspecter l'élément » des outils de développement Chrome pour afficher les éléments sous-jacents du bouton de connexion. À ce moment-là, j'ai découvert que c'était le cas. dans le " Après l'action "Soumettre", l'attribut "Désactiver" est défini. Eh bien, je vais le changer en "Activer" et essayer.
Avec ce changement, le bouton de connexion (Sign-IN) est affiché et cliquable. Eh bien, je ne suis en effet pas un robot, authentification homme-machine. (Captcha) est devenu ici une décoration.
J'étais curieux de connaître la méthode de vérification côté serveur, j'ai donc utilisé BurpSuite pour capturer le processus ci-dessus et j'ai découvert que le serveur n'avait pas traité le Captcha soumis par l'utilisateur au début. L'opération est vérifiée, donc même si je supprime le contenu de la session Captcha soumis, je peux toujours accéder à la page de connexion sans déclencher l'attribut "Activer".
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Version Mac de WebStorm
Outils de développement JavaScript utiles
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
DVWA
Damn Vulnerable Web App (DVWA) est une application Web PHP/MySQL très vulnérable. Ses principaux objectifs sont d'aider les professionnels de la sécurité à tester leurs compétences et leurs outils dans un environnement juridique, d'aider les développeurs Web à mieux comprendre le processus de sécurisation des applications Web et d'aider les enseignants/étudiants à enseigner/apprendre dans un environnement de classe. Application Web sécurité. L'objectif de DVWA est de mettre en pratique certaines des vulnérabilités Web les plus courantes via une interface simple et directe, avec différents degrés de difficulté. Veuillez noter que ce logiciel
Dreamweaver Mac
Outils de développement Web visuel
