Maison >Opération et maintenance >Sécurité >Comment contourner facilement le Captcha d'authentification homme-machine

Comment contourner facilement le Captcha d'authentification homme-machine

WBOY
WBOYavant
2023-05-11 17:55:125784parcourir

Le texte partagé aujourd'hui est une simple méthode de contournement de l'authentification homme-machine (Captcha) découverte par l'auteur lors du test de vulnérabilité du site Web cible. Les outils de développement Chrome sont utilisés pour effectuer simplement une simple modification sur la cible. page de connexion au site Web. L'édition de l'élément réalise le contournement du Captcha.

L'authentification homme-machine (Captcha) apparaît généralement sur les pages d'enregistrement, de connexion et de réinitialisation du mot de passe du site Web. Voici le mécanisme Captcha organisé par le site Web cible dans la page de connexion.

Comment contourner facilement le Captcha dauthentification homme-machine

Comme vous pouvez le voir sur l'image ci-dessus, l'utilisateur ne peut cliquer sur le bouton de connexion qu'après avoir coché "Je ne suis pas un robot" du Captcha Le mécanisme de vérification (Connexion) permettra aux utilisateurs de cliquer sur l'affichage. Par conséquent, sur cette base, j'ai cliqué avec le bouton droit sur le bouton de connexion, puis j'ai utilisé la fonction « Inspecter l'élément » des outils de développement Chrome pour afficher les éléments sous-jacents du bouton de connexion. À ce moment-là, j'ai découvert que c'était le cas. dans le " Après l'action "Soumettre", l'attribut "Désactiver" est défini. Eh bien, je vais le changer en "Activer" et essayer.

Comment contourner facilement le Captcha dauthentification homme-machine

Avec ce changement, le bouton de connexion (Sign-IN) est affiché et cliquable. Eh bien, je ne suis en effet pas un robot, authentification homme-machine. (Captcha) est devenu ici une décoration.

Comment contourner facilement le Captcha dauthentification homme-machine

J'étais curieux de connaître la méthode de vérification côté serveur, j'ai donc utilisé BurpSuite pour capturer le processus ci-dessus et j'ai découvert que le serveur n'avait pas traité le Captcha soumis par l'utilisateur au début. L'opération est vérifiée, donc même si je supprime le contenu de la session Captcha soumis, je peux toujours accéder à la page de connexion sans déclencher l'attribut "Activer".

Comment contourner facilement le Captcha dauthentification homme-machine

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer