带Burpsuite或AppScan的CAPTCHA

Question

我有一个web应用程序，它使用登录用户密码和captcha登录。是否有一种方法可以使用AppScan或Burpsuite工具执行漏洞评估，以自动捕获验证码并对应用程序进行爬行和审计

Answer 1

是否有一种方法可以使用AppScan或Burpsuite工具执行漏洞评估，以自动捕获CAPTCHA并对应用程序

进行爬行和审计

不，没有自动捕获CAPTCHA这样的东西，是的，有tensorflow的东西可以让它发生，但是当然也不适合google和其他人的recaptcha版本3(你需要大量的数据来训练特定类型的captchas，并处理假阳性，过了一段时间，这种努力就不值得了)。

下面是您可以尝试的方法，您可以使用captcha +凭据通过burp代理登录到web应用程序，当您设置了会话cookie时，您可以继续使用burp进行漏洞评估扫描。

如果您的情况是应用程序在一段时间后或在一个错误的有效负载下将您注销，则希望宏可以帮助您或尝试使用应用程序的API版本获得有效的会话cookie，在您拥有有效的cookie之后，设置cookie，并且爬行+扫描的过程保持不变。