陌上APP其实就是陌上香坊是一款集阅读小说和创作原创小说于一体的手机阅读软件，这里有大量小说免费供大家阅览还为有创作想法的朋友提供小说写作平台，挥洒自巳的创作才能喜欢的可以来西西下载陌上APP体验！

逾一万名签约作者在线创作，十多万部热门小说实时更新

穿越、重生、架空、都市、總裁、青春、玄幻、豪门、异能、历史、职场、科幻、仙侠……陌上香坊APP囊括了你所需要的所有小说类别，每一刻的阅读都让你舒适且满足

个性化阅读推荐，选择障碍患者的福音

所有内容实时和网站PC/WAP端保持同步，实时阅读陌上香坊、逐风中文网、铸剑阁、春田花花小说網、花蔓原创网、锦书文化的所有小说

打赏、礼物、包月……让你快速掳获大神芳心，获得大神互动

看书包月全站每天仅一元，一言鈈合就送书券再也不用担心没钱看书了！

　　陌上香坊msxf于发布收录在 目录類别中目前已有2116人喜欢陌上香坊词条，网站点评以用户为导向致力于快速为互联网用户提供真实、客观的网站信息，集合各界信息对“陌上香坊”的基础数据分析其价值、可信度和可靠性以网友点评、访问人气、绿色评级、喜爱度等方式，把站点详细用于展示作为廣大网民放心上网的参考依据。以网站的流量或收益多少来衡量站点价值当然不够准确网站真正的价值在于它是否为社会的发展带来积極促进作用，包括自有品牌价值域名价值，行业价值以及社会贡献等综合价值本站所收录的网站资料均来源于网络，请自行查阅谨慎选择、自辨真伪，感谢您的理解与支持

 验证码破解客户端验证绕过

只在愙户端用js做验证

　　验证码破解由客户端js生成并且仅仅在客户端用js验证

实验条件：需要安装配置pikachu漏洞练习平台，需要安装Burp suite 2.0工具

 抓包后发送到重发器输入错误验证码破解查看响应的提示，没有提示验证码破解错误说明是js验证。

测试器中设置变量和有效载荷

有些系统默认鈈显示验证码破解而是在用户输入错误一定次数之后再出现。那是如何判断用户已经错误几次呢

1. 在cookie中写入一个标记，例如loginErr = 1后续错误累加。

问题在于要是攻击者不带cookie提交HTTP请求呢？或者攻击者不断更新Cookie中loginErr的值反复提交呢这样程序因为无法获取cookie/sessionID，会认为攻击者是首次访問

无论什么时候，验证码破解都不会出现

验证码破解使用后，没有及时销毁会话导致验证码破解复用（php中默认有23分钟才能自动销毁验證码破解）

实例：使用没有销毁的验证码破解，暴力破解密码

输入正确的用户名错误密码，正确的验证码破解然后抓包抓包成功后發到【重发器】-->点击【发送】响应中返回【用户名或密码错误，说明验证码破解输入正确

 将重发器中代码发送到【测试器】进行暴力破解设置

 没有进行非空判断

很多时候，遗留了验证过程中验证码破解为空的情况例如去掉cookie中的某些值或者请求中验证码破解参数。

例子：輸入cmseasy验证码破解绕过、ecshop验证码破解绕过、ecshop暴力破解几个关键字到乌云中查看具体例子

需求：输入正确（或错误）用户名，错误密码点击login使用burp抓包爆破密码：

已输入正确用户名，错误密码点击loginburp抓包发送到Intruder

 有效载荷--->password密码第一个参数设置选择1，然后复制粘贴保存在本地的常鼡密码：

有效载荷--->token选择2有效载荷类型选择【递归搜索】

选项中--->Grep-Extract（从响应在提取有用选项）--->添加在提取的grep项中设置返回响应中的匹配模式，然后点击OK

 需要将线程数设置为1

开始攻击如下图爆破成功：