验证码安全
分类:图片,手机或邮箱,语音,视频,操作等
原理:验证生产或验证过程中的逻辑问题
危害:账户权限泄露 ,短信轰炸,遍历,任意用户操
漏洞:客户端回显(上篇),验证码复用,验证码爆破,绕过等
burp安装验证码识别插件与使用
https://github.com/c0ny1/captcha-killer/releases/tag/0.1.2
https://github.com/bit4woo/reCAPTCHA/releases/tag/v1.0
使用:
抓取验证码数据包
右键选中,发送到captcha-killer模块中
工具使用教程:https://www.cnblogs.com/nul1/p/12071115.html
插件要配合百度AI文字识别使用。(买不起接口)
验证码绕过(爆破)
服务端:
此处通过把$_POST接收的验证码与session中的验证码进行比对,如果两个值不相等,则输出验证码错误。因为如果验证成功后没有对这次存入session中的验证码进行销毁,所以当接收下一次验证码时,输入之前的验证码也是有效的。
客户端:
直接通过工具抓包,爆破。就不会通过本地端了,而是直接去访问服务器。
token
验证数据唯一性的标识,每次提交数据时生成的token都是唯一的,防止数据重复提交(防止重放攻击)
不同数据包提交时的token是不一样
每次发包时token都是不可预计的,所以难以利用常规的字典进行爆破,确实能在一定程度上防止爆破,但是在发送数据包后,response包中有新形成的token值,说明token是在客户端生成的,每刷新一次页面就更新一次token值,而且在回包中可以看中token是在form表单中,type是hidden,说明是隐藏表单,也是为了方便用post方式发送参数值。
操作
1.将password和token做为字典选中,并选择pitchfork模式
2.点击Palyoads选择字典,给第一个参数password选择字典
3.选择第二个参数token
4.打开Options设置线程为1,因为这里是要一次一次提交,提交一次请求后把返回包中的token值截取下来,等下一次提交时写进去。所以不可以用多线程
5.选中Always
6.在Grep-Extract处点击add,此处是要截取需要的token值
7.找到token的值,并选中,点击ok。burp会自动生成正则表达式对里面的值进行截取
8.再在Payloads类型处选择Recursive grep
9.开始运行
可以看到每次的token值都不一样
接口回调安全问题
callback容易产生跨站漏洞