一.验证码破解原理:
1.就是验证码机制主要用于防暴力破解,防止DDOS攻击,识别用户身份等。
2.常见的验证码有:邮箱验证,手机号码验证,点击验证,滑动验证,语言验证等等。
我们这里就用 手机验证码为例子.
3.攻击者填写任意手机号码进行注册,,服务器向攻击者填写的手机号码发送验证码,攻击者设置的范围是 000000-999999
000000-999999这是什么意思呢?
答:因为验证码的位数不一样,所以我们就用000000-999999 作为攻击字典
攻击方式从 000001-999999 进行猜解,以此类推,直到验证码正确为准
二.操作方法:
1.启动burp对漏洞地点进行抓包拦截
2.把拦截的包发送到 burp的 intruder里面进行猜解爆破
3.暴力破解成功
三.修复意见:
(1)设置验证码的失效时间,建议为180秒:
(2)限制单位时间内验证码的失败尝试次数,如5分钟内连续失败5次即锁定该账号15分钟。
注:仅供参考,持续更新。