Insecure CAPTCHA，意思是不安全的验证码，CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。这一模块的内容叫做不安全的验证流程比较好，主要是验证流程出现了逻辑漏洞，而不是谷歌的验证码有问题。

这一模块的验证码使用的是Google提供reCAPTCHA服务，下图是验证的具体流程。

服务器通过调用recaptcha_check_answer函数检查用户输入的正确性。

recaptcha_check_answer($privkey,$remoteip, $challenge,$response)

参数$privkey是服务器申请的private key，$remoteip是用户的ip，$challenge是recaptcha_challenge_field字段的值，来自前端页面 ，$response是recaptcha_response_field字段的值。函数返回ReCaptchaResponse class的实例，ReCaptchaResponse类有2个属性 ：

$is_valid是布尔型的，表示校验是否有效，

$error是返回的错误代码。

先能访问google网站，最好的方法是使用google上网助手。谷歌上网助手GHelper 插件下载地址：链接: https://pan.baidu.com/s/1DEkrd876pZURNpCGaMUQbg 提取码: 89gq

下载完成后解压文件，文件内有一个 Ghelper_1.4.6.crx。进入Chrome浏览器设置菜单，点击左侧的“扩展程序”，进入扩展中心，打开右上角的开发者模式，如下图所示。然后把 Ghelper_1.4.6.crx 文件拖入到浏览器的扩展程序中心，按照提示安装插件，安装完成后Chrome浏览器网址栏后方会有一个 Ghelper 图标，点击Ghelper图标会弹出注册和登陆对话框，按照提示填写注册用户，登录后便能使用Google旗下的所有产品了。

安装google上网助手后，通过点击输入的邮箱收到的链接，激活Ghelper

注册使用google的验证码，https://www.google.com/recaptcha/admin/create

reCAPTCHA类型建议使用V2。

上面的配置信息提交后，google会帮我们生成public_key和private_key，把这两个key拷贝到DVWA的配置文件中。

打开DVWA部署目录中的配置文件

编辑 dvwa/config/config.inc.php这个配置文件

$_DVWA[ 'recaptcha_public_key' ] = ''; $_DVWA[ 'recaptcha_private_key' ] = '';

修改后：

$_DVWA[ 'recaptcha_public_key' ] = '6LfX8tQUAAAAAOqhpvS7-b4RQ_9GVQIh48dRMGsD';

$_DVWA[ 'recaptcha_private_key' ] = '6LfX8tQUAAAAAIR5ddYvRf3zNqM-k__Ux73oZzb_';

把两个key分别添加到上面两个参数后，刷新页面，则可以看到DVWA中产生了验证码窗口。

查看源代码如下：