一、前端验证码破解,这种验证码通常隐藏在前端网页的javascript语句了,通过网页端查看网页源码就可以看到该页面的验证码规则,这种验证码我们通过burpsuite破解的时候,验证码几乎对我们的破解流程没有任何影响。
此处将验证码删除,在burpsuite中再次进行提交,可以看到并没有提示验证码缺失
2.当验证码的流程是在后台进行验证时,上面的方式就往往无法行通,我们此时往往可以后台的验证码生成后,默认有效时间是24分钟,我们往往可以利用这个验证码有效时间进行暴力破解
此时在正确输入验证码后,在burpsuite中发送请求后,页面会提示用户名密码不正确,此时在不更改验证码的前提下,更改一下用户名或者密码,再次提交后,页面返回的数据仍然是用户名密码不正确,表明验证码没有过期,可以反复使用。
将这个数据发送到Intruter中,进行暴力破解,可以根据字符数据的长度,查看是否破解成功。