在黑盒的安全测试的工作开始的时候，打开网站一般来说可能仅仅是一个登录框；很多时候这种系统往往都是自研或者一些业务公司专门研发。最基础的情况下，我们会尝试使用 SQL 注入绕过或者爆破之类的常规手段，如果可以成功，那皆大欢喜；但是随着甲方系统研发的迭代与额外安全要求，简单的抓包重访变得非常困难。有什么容易的办法吗？本篇文章先为大家呈上两个秘技~

其中，若找到的输入框和提交按钮大于所需的数量，则会根据其对应element的内容进行关键词分析，得出其中最为可能的用户名输入框、密码输入框、可能存在的验证码输入框、验证码图片和提交登录按钮。在以后的优化方向上，会尝试接入一个简单的验证码图片识别模块，这个其实之前尝试过，但是当前比较轻量好用的验证码识别方式，无论是基于深度学习还是ocr，都大量集中在python环境下，golang环境下的验证码识别