实战 ｜ 一文教你如何js逆向（一）

申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！公众号现在只对常读和星标的公众号才展示大图推送，建议大家把 明暗安全 设为星标，否则可能就看不到啦！1.漏洞背景在渗透测试中，会经常遇到验证码问题，那么下面就针对某验4代滑块逆向展开说说。domo地址：https://www.geetest.com/adaptive-captcha-demo首先加载页面，打开F12，会发现有一个/load的请求，返回包中含有后面进行滑块验证所需要的参数，请求包中的captcha_id可以理解为代表着每个站点的ID，后面逆向完成后只需要更改该ID值即可通杀。challenge为一串字符串，该版本没有进行验证，可以固定写死。其余参数不进行过多的叙述均见名知意。接下来我们滑动滑块发送了一个/verify请求，请求体中的w值则是本篇文章重点分析的对象。其余参数不过多叙述，细心的小伙伴 ………………………………