验证码暴力破解

一.验证码破解原理:

1.就是验证码机制主要用于防暴力破解，防止DDOS攻击，识别用户身份等。

2.常见的验证码有：邮箱验证，手机号码验证，点击验证，滑动验证，语言验证等等。

我们这里就用  手机验证码为例子.

3.攻击者填写任意手机号码进行注册，，服务器向攻击者填写的手机号码发送验证码，攻击者设置的范围是   000000-999999    

000000-999999这是什么意思呢？

答：因为验证码的位数不一样，所以我们就用000000-999999  作为攻击字典  

攻击方式从  000001-999999  进行猜解，以此类推，直到验证码正确为准

 

二.操作方法:

1.启动burp对漏洞地点进行抓包拦截

 

2.把拦截的包发送到 burp的  intruder里面进行猜解爆破

3.暴力破解成功

 

三.修复意见:

(1)设置验证码的失效时间，建议为180秒:
(2)限制单位时间内验证码的失败尝试次数，如5分钟内连续失败5次即锁定该账号15分钟。

 

注:仅供参考，持续更新。