安全测试之验证码绕过

安全测试入门，本文使用的安全测试工具为burpSuite，安装教程可自行百度啦

验证码绕过测试

• 在点击【下一步】之前，开启Intercept is on
  
• 输入任意验证码，点击下一步，抓包
  
• 抓到的包，并鼠标右键或点击Action，选择Do intercept-》Response to this request
  
• 再点击forward，返回验证码与手机号不匹配的信息
  
• 可以直接在Raw这进行修改返回包的内容，把false改成true，最后要让包正常传递过去，点击Forward即可，发现申请页面跳到下一页面了
  
• 此时返回的信息中creditId=空，并没有生成1条申贷记录。只是前端跳过去了，服务端并没有收到数据，所以没有生效
  
• 若通过修改返回状态如果能成功提交贷款申请，也能查到这条记录，就表示修改的参数生效了，说明这时候就有漏洞。