Здравствуйте, дорогие друзья.
Хотел бы рассмотреть один нюанс, касаемо уязвимости Insecure CAPTCHA. Все на самом деле просто. Нужно пройти регистрацию на сайте и отредактировать конфиги на сервере.
Переходим на страничку уязвимости и видим следующие записи:
Нам необходимо перейти на сайт гугла и пройти процедуру регистрации. Что мы и будем делать:
Ярлык указываем как DVWA:
Тип reCAPTCHA указываем как reCAPTCHA v2, и в появившемся перечне радиокнопок выбираем – невидимый значок reCAPTCHA:
В поле «Домены» пропишем запись: «localhost»:
На завершающем этапе примем условия использования reCAPTCHA, и уберем галочку с чекбокса «отправлять владельцам оповещения»:
И жмем кнопку «Отправить».
Нас перебрасывает на страницу для регистрации ключей:
Далее копируем ключ с сайта и переходим в директорию: /var / www/ dvwa/config:
Нас будет интересовать файл config.inc.php. Откроем этот файл с помощью текстового редактора nano. Команда будет выглядеть как: «sudo nano config.inc.php»:
И вставляем публичный и приватный ключ в данный файл (выделено красным прямоугольником).
Сохраняем файл и выходим из него.
Перезагружаем нашу страницу DVWA:
Получаем предупреждение о том, что мы находимся на некорректном домене.
Для того, чтобы обойти эту блокировку, нам нужно ввести в адресной строке url: «localhost/dvwa», и мы перейдем на страницу с адресом:
Авторизируемся на сайте и переходим на страницу с вводом каптчи:
На этом все. Всем хорошего дня.
