该文是 【玄山翻译计划】第二篇 绕过验证码
部分翻译预览:
translator:陈殷
我并不是特意在寻找验证码绕过的姿势,但是一个项目指出发现验证码绕过即可获得奖赏。
所以我开始寻找验证码最常见的地方,比如注册、登录和密码重置页面,我找到的那个是在登录页面。
如您所见,登录按钮已禁用,只有在我们点击“I‘m not a robot”之后才启用。
由于已禁用,因此我迅速右键单击了该按钮,然后单击了“检查元素”,并将禁用的参数更改为启用。
该按钮现已启用,我可以单击进行登陆。
因此,我输入了电子邮件和密码,并且无需单击“I’m not a robot ”即可登录。
成功ByPass验证码设置。
我很好奇该请求是什么样子的,因此我打开了burpsuite并查看了该请求,发现服务器最初并没有检查验证码的响应。
我可以简单地删除验证码响应并将其发送,然后将我重定向到仪表板。
我不需要启用按钮,我只需要查看请求并删除验证码响应。
感谢!
说明:暂时不提供单篇原文下载,专辑结束后会放出【英文原版文档 译文文档 pdf版本】,请关注“玄魂工作室”或“山丘安全攻防实验室”。
