Bagaimana untuk memintas pengesahan mesin manusia dengan mudah Captcha

Writeup yang dikongsi hari ini ialah kaedah pintasan mesin manusia (Captcha) yang ditemui oleh pengarang semasa ujian kelemahan tapak web sasaran Ia menggunakan alat pembangun Chrome untuk melaksanakan elemen mudah pada halaman log masuk tapak web sasaran editor telah melaksanakan pintasan Captcha.

Pengesahan komputer manusia (Captcha) biasanya muncul pada halaman pendaftaran, log masuk dan tetapan semula kata laluan laman web berikut ialah mekanisme Captcha yang diatur oleh tapak web sasaran dalam halaman log masuk.

Seperti yang anda lihat dari gambar di atas, pengguna hanya boleh mengklik butang log masuk (Log Masuk) selepas menyemak "Saya bukan robot" Captcha mekanisme pengesahan Paparan akan didayakan untuk diklik oleh pengguna. Oleh itu, berdasarkan ini, saya mengklik kanan butang Log Masuk, dan kemudian menggunakan fungsi "Periksa Elemen" Alat Pembangun Chrome untuk melihat elemen asas butang Log Masuk Pada masa ini, saya mendapati bahawa ia adalah dalam " Selepas tindakan "Serah", atribut "Lumpuhkan" ditentukan. Nah, kemudian saya akan menukarnya kepada "Dayakan" dan mencubanya.

Dengan perubahan ini, butang log masuk (Log Masuk) dipaparkan dan boleh diklik, saya memang bukan robot (Captcha) di sini Ia menjadi hiasan.

Saya ingin tahu tentang kaedah pengesahan sisi pelayan, jadi saya menggunakan BurpSuite untuk menangkap paket dalam proses di atas, dan mendapati pelayan tidak mengesahkan operasi Captcha yang diserahkan oleh pengguna pada mulanya, jadi , walaupun saya memadamkan kandungan sesi Captcha yang diserahkan, saya masih boleh melompat ke halaman log masuk tanpa mencetuskan atribut "Dayakan".

Atas ialah kandungan terperinci Bagaimana untuk memintas pengesahan mesin manusia dengan mudah Captcha. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!