网站关键字分析,wordpress上传音乐文件,163网易企业邮箱入口,医疗设计网站建设首先声明#xff0c;本文仅仅作为学习使用#xff0c;因个人原因导致的后果#xff0c;皆有个人承担#xff0c;本人没有任何责任。
在之前的burp学习中#xff0c;我们学习了图片验证码的突破#xff0c;但是现实中还有很多短信验证码#xff0c;在此我介绍几种短信验…首先声明本文仅仅作为学习使用因个人原因导致的后果皆有个人承担本人没有任何责任。
在之前的burp学习中我们学习了图片验证码的突破但是现实中还有很多短信验证码在此我介绍几种短信验证码漏洞全部可以使用burp实现本人因期末考试季图片大多来源于网络在有时间自己挖漏洞补上验证码分为4位和6位这里主要讲4位
那我们话不多说开始今天的内容。
万能验证码漏洞
这就像账号密码admin一样验证码同样存在弱口令漏洞分别是0000和9999或者是直接空的就可以登录但是不多
2.短信爆破
这个漏洞原因是设计网页的人没有对验证码输入次数做限制同时可用于输入验证码的时间很长导致可以破解。 就比如像我现在抓到一个包在有效载荷中跳到数值在下列数字调自己要测试的内容如0000-9999进行测试。
3.短信验证码回显漏洞
这个漏洞就是在你请求到验证码时平常的返回数据包是不会带有验证码的但是有一些商家或者公司一时脑子发热把验证码一起返回或者对验证码加密返回这就产生验证码回显漏洞 图片来源于网络
4.验证码转发漏洞
当正常的验证码请求包只可以有一个手机号同时你也只可以输入一个手机号但是你使用burp抓包后可以改变请求包的内容就可以同时写入两个手机号此时两个手机号同时受到同一个验证码。
抓到包后发送到repeater重发器对请求包更改。 图片来源于网络
5.验证码与手机未绑定关系
这个其实也不难理解就是当你用一个手机请求验证码但是你可以用另一个手机使用这个验证码。就比如像我用我妈妈的电话号码请求验证码但是我把这个验证吗用在我的手机号上结果还登录进去了这就是未绑定关系不过这个似乎和burp没什么关系你什么也不会都可以测这个漏洞就是有点慢
