暴力破解(基于server端验证码)
1.首先尝试输入错误的用户名,密码,验证码。
返回验证码不正确
2.输入错误的用户名密码,输入正确的验证码。
返回用户名或者密码不正确
3.输入错误的用户名密码,不输入验证码
返回验证码不能为空
然后刷新页面,会生出新的验证码。
可以发现服务器对验证码的有效性做过校验,一切逻辑正常。
但是如果这个验证码在后台长期不过期,或者过期时间较长。足够我们去爆破用户名和密码,那么就会产生漏洞。
1.输入错误的用户名和密码,然后输入正确的验证码。
然后将包发送到repeater模块中
注意:如果提示密码错误,请刷新页面。获取新的验证码即可。
然后添加到intruder
设置参数 跑出结果即可。
页:
[1]