验证码客户端回显测试,验证码绕过测试,验证码自动识别测试

往期文章： 

验证码暴力破解测试-业务安全测试实操(13)_luozhonghua2000的博客-CSDN博客

验证码客户端回显测试

测试原理和方法

当验证码在客户端生成而非服务器端生成时，就会造成此类问题。当客户端需要和服务器进行交互发送验证码时，可借助浏览器的工具查看客户端与服务器进行交互的详细信息。

测试过程

攻击者进入找回密码页面，输入手机号与证件号，获取验证码，服务器会向手机发送验证码，通过浏览器工具查看返回包信息，如果返回包中包含验证码，证明存在此类问题，如图 所示

 以某P2P金融平台为例。
步骤一:使用浏览器访问该网站，在找回密码页面中任意输入一个手机号码和开户证件号，如图 所示。