>운영 및 유지보수 >안전 >인간-기계 인증 보안 문자를 쉽게 우회하는 방법

인간-기계 인증 보안 문자를 쉽게 우회하는 방법

WBOY
WBOY앞으로
2023-05-11 17:55:125787검색

오늘 공유한 글은 작성자가 대상 웹사이트의 취약점 테스트 중 발견한 간단한 인간-기계 인증(Captcha) 우회 방법으로, Chrome 개발자 도구를 사용하여 대상 웹사이트의 로그인 페이지에서 요소를 간단히 편집하여 구현했습니다. 보안 문자가 우회되었습니다.

인간-컴퓨터 인증(Captcha)은 일반적으로 웹사이트의 등록, 로그인 및 비밀번호 재설정 페이지에 표시됩니다. 다음은 로그인 페이지에서 대상 웹사이트에 의해 배치된 보안문자 메커니즘입니다.

인간-기계 인증 보안 문자를 쉽게 우회하는 방법

위 그림에서 볼 수 있듯이 사용자가 Captcha 인증 메커니즘에서 "로봇이 아닙니다"를 확인한 후에만 로그인 버튼(Sign-IN)이 활성화되어 사용자에게 표시됩니다. 딸깍 하는 소리. 그래서 이를 토대로 로그인 버튼을 마우스 오른쪽 버튼으로 클릭한 후, 크롬 개발자 도구의 "요소 검사" 기능을 이용하여 로그인 버튼의 기본 요소를 살펴보았는데요. "제출" 작업 후에 "비활성화" 속성이 정의됩니다. 그러면 이를 "활성화"로 변경하고 시도해 보겠습니다.

인간-기계 인증 보안 문자를 쉽게 우회하는 방법

이번 변경으로 로그인 버튼(Sign-IN)이 표시되고 클릭이 가능해졌습니다. 참, 저는 로봇도 아니고, 여기서는 인간-기계 인증(Captcha)이 장식이 되었습니다.

인간-기계 인증 보안 문자를 쉽게 우회하는 방법

서버 측 확인 방법이 궁금해서 위 과정에서 BurpSuite를 사용하여 패킷을 캡쳐해 보았는데, 처음에는 사용자가 제출한 보안 문자 작업을 서버에서 확인하지 않은 것으로 나타났습니다. 제출된 보안 문자 세션 콘텐츠를 삭제한 경우에도 '활성화' 속성을 실행하지 않고도 로그인 페이지로 이동할 수 있습니다.

인간-기계 인증 보안 문자를 쉽게 우회하는 방법

위 내용은 인간-기계 인증 보안 문자를 쉽게 우회하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
이 기사는 yisu.com에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제