三十六：WEB漏洞-逻辑越权之验证码与Token接口

验证码安全

分类：图片，手机或者邮箱，语音，视频，操作等
原理：验证生成或验证过程中的逻辑问题
危害：账户权限泄露，短信轰炸，遍历，任意用户操作等
漏洞：客户端回显，验证码复用，验证码爆破，绕过

Token安全

基本上述同理，主要验证中柯村仔绕过课继续后续测试
token爆破，token客户端回显等

验证码识别插件工具使用

captcha-killer使用
pkav-Http-fuzz,reCAPTCHA等 

接口安全问题

调用，遍历，未授权，篡改
调用案例：短信轰炸
遍历案例：UID等遍历
callback回调：JSONP
参数篡改：墨者靶场

未授权访问与越权漏洞区别
Jboss 未授权访问

验证码识别插件及工具操作演示-实例

验证码绕过本地及远程验证-本地及实例

Token客户端回显绕过登录爆破演示-本地

某URL下载接口ID值调用遍历测试-实例

Callback自定义返回值调用安全-漏洞测试-实例

回调，，开发某个接口给网站

设置草叉模式，第一个为密码，第二个为字典（Token）