Pikachu-暴力破解-验证码绕过(on client)
访问页面,
从burpsuite 上看到返回的源代码; 验证码生成时通过 createCode 方法生成,在前端页面生成;
同时也是在前端做的校验;
直接验证;F12 -- 网络,随便输入个账号、密码、验证码,发现弹出验证码错误,但是没有发起网络请求;所以可以得知,验证码校验是放在前端的;
直接绕过;前端发起请求,拦截抓包;删除验证码再发送到服务端;
intruder 爆破
爆破成功!
访问页面,
从burpsuite 上看到返回的源代码; 验证码生成时通过 createCode 方法生成,在前端页面生成;
同时也是在前端做的校验;
直接验证;F12 -- 网络,随便输入个账号、密码、验证码,发现弹出验证码错误,但是没有发起网络请求;所以可以得知,验证码校验是放在前端的;
直接绕过;前端发起请求,拦截抓包;删除验证码再发送到服务端;
intruder 爆破
爆破成功!