验证码绕过(on client)的暴力破解
验证码输入正确、为空、输入错误页面如下:
什么都不输入或只输入用户名和密码点击登录,页面弹出“请输入验证码!”的提示框,而不是用户名和密码不存在
我们查看源码,输入的验证码在本地验证,我们可以在burp suite不输入验证码或者输入错的验证码完成爆破
burp suite抓包,删除验证码,发送到intruder模块
选择爆破位置以及攻击方式
设置payloads
开始攻击
成功~~~
