今天分享的writeup是作者在目标网站漏洞测试中发现的一种简单的人机身份验证（captcha）绕过方法，利用chrome开发者工具对目标网站登录页面进行了简单的元素编辑就实现了captcha绕过。

人机身份验证（Captcha）通常会出现在网站的注册、登录和密码重置页面，以下是目标网站在登录页面中布置的Captcha机制。

从上图中可以看到，用户只有在勾选了Captcha验证机制的“I‘m not a robot”之后，登录按钮（Sign-IN）才会启用显示以供用户点击。因此，基于这点，我右键点击了Sign-In按钮，然后用Chrome开发者工具的“元素检查”（Inspect Element ）功能来查看Sign-In按钮的底层元素，这一看，竟然发现其在“提交”（Submit）动作之后，定义了“禁用”（Disable）属性，好吧，那我就把它改变成“启用”（Enable）试试看。

这一改，登录按钮（Sign-IN）显示且可点击了，好吧，我确实不是一个机器人，人机身份验证（Captcha）在这里成了摆设。

我好奇服务端的验证方式，于是就用BurpSuite对上述过程进行了抓包，发现服务端一开始都不对用户提交的Captcha操作做验证，因此，即使我把提交的Captcha会话内容删除了，一样可以跳转到登录页面，根本不需要触发其中的“启用”（Enable）属性就行。

# chrome  # 这一  # 身份验证  # 好吧  # 服务端  # 进行了  # 在这里  # 成了  # 不需要  # 才会  # 出现在 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 在Oracle关闭情况下如何修改spfile的参数  如何用美橙互联一键搭建多站合一网站？  *服务器网站为何频现安全漏洞？  Laravel Eloquent：优雅地将关联模型字段扁平化到主模型中  Laravel如何实现全文搜索_Laravel Scout集成Algolia或Meilisearch教程  实例解析angularjs的filter过滤器  高端智能建站公司优选：品牌定制与SEO优化一站式服务  如何选择可靠的免备案建站服务器？  如何在万网自助建站中设置域名及备案？  郑州企业网站制作公司,郑州招聘网站有哪些？  为什么要用作用域操作符_php中访问类常量与静态属性的优势【解答】  微博html5版本怎么弄发语音微博_语音录制入口及时长限制操作【教程】  南京网站制作费用,南京远驱官方网站？  Python函数文档自动校验_规范解析【教程】  香港服务器如何优化才能显著提升网站加载速度？  什么是javascript作用域_全局和局部作用域有什么区别？  Laravel如何处理文件下载请求？（Response示例）  Laravel如何实现URL美化Slug功能_Laravel使用eloquent-sluggable生成别名【方法】  html5怎么画眼睛_HT5用Canvas或SVG画眼球瞳孔加JS控制动态【绘制】  1688铺货到淘宝怎么操作 1688一键铺货到自己店铺详细步骤  Linux安全能力提升路径_长期防护思维说明【指导】  北京的网站制作公司有哪些,哪个视频网站最好？  javascript中闭包概念与用法深入理解  Laravel Eloquent模型如何创建_Laravel ORM基础之Model创建与使用教程  在线制作视频的网站有哪些,电脑如何制作视频短片？  Laravel Seeder填充数据教程_Laravel模型工厂Factory使用  如何在腾讯云服务器快速搭建个人网站？  如何在景安服务器上快速搭建个人网站？  Python数据仓库与ETL构建实战_Airflow调度流程详解  如何自定义建站之星模板颜色并下载新样式？  rsync同步时出现rsync: failed to set times on “xxxx”: Operation not permitted  专业商城网站制作公司有哪些,pi商城官网是哪个？  最好的网站制作公司,网购哪个网站口碑最好，推荐几个？谢谢？  javascript中对象的定义、使用以及对象和原型链操作小结  如何在云主机上快速搭建网站？  ChatGPT回答中断怎么办 引导AI继续输出完整内容的方法  Windows Hello人脸识别突然无法使用  奇安信“盘古石”团队突破 iOS 26.1 提权  如何在宝塔面板中修改默认建站目录？  Laravel如何使用Telescope进行调试？（安装和使用教程）  Windows10怎样连接蓝牙设备_Windows10蓝牙连接步骤【教程】  JavaScript如何实现错误处理_try...catch如何捕获异常？  Laravel怎么在Controller之外的地方验证数据  Laravel如何实现本地化和多语言支持？（i18n教程）  如何用景安虚拟主机手机版绑定域名建站？  进行网站优化必须要坚持的四大原则  如何在Windows虚拟主机上快速搭建网站？  Laravel怎么实现支付功能_Laravel集成支付宝微信支付  如何在橙子建站上传落地页？操作指南详解  Laravel怎么写单元测试_PHPUnit在Laravel项目中的基础测试入门