公益src一次简单的验证码绕过、弱口令
1、在漏洞平台,公益SRC上,找一个网站,找到登录处2、抓包,发现密码明文,放到Repeater,多次Go,发现没有验证码,也不限制次数3、进行爆破,得到密码(自己注册的号,容易爆破)4、当我在次返回登录处,发现竟然又要验证5、于是再次抓验证包,放到Repeater,多次Go,发现这次需要验证6、对比之前抓的包,发现cookie多一段,删除多出的,再次Go,就不需要验证了7、拿到账号、密码进行登录
1