XSSI漏洞原理同源策略XSSI原理XSSI、XSS、CSRF的区别与jsonp劫持的关系XSSI漏洞利用以及POC静态JavaScript（常规XSSI）动态JavaScript1.敏感信息存储在全局变量2.敏感信息被外部函数处理，可以重写函数3.利用原型链窃取敏感信息非JavaScript1.IE bug导致错误信息泄漏 （ie 9 和 ie 10）2.通过UTF-16编码获取其它类型的数据

版本说明：wireshark下载地址：https://www.wireshark.org/#download使用环境：Linux/Windows(kali自带)工具说明：Wireshark是非常流行的网络封包分析软件，可以截取各种网络数据包，并显示数据包详细信息，注：Wireshark只能查看数据包，而不能修改数据包的内容，或者发送数据包一、下载安装kali_linux中自带wiresharkw

版本说明：ettercap0.8.3下载地址：https://github.com/Ettercap/ettercap/archive/v0.8.3.1.tar.gz使用环境：Linux（kali自带），官方只提供源码，需要编译，建议在kali里面直接使用工具说明：Ettercap是一个综合性的中间人攻击工具，使用它可以进行ARP欺骗、拦截器、DNS欺骗等常见的中间人攻击。基础知识0x01 ARP

版本说明：Aircrack-ng1.6下载地址：https://download.aircrack-ng.org/aircrack-ng-1.6.tar.gz使用环境：Linux/Windows(kali自带)工具说明：Aircrack-ng 是一款无线密码破解工具一、工具说明Aircrack-ng是一个与802.11标准的无线网络分析有关的安全软件，主要功能有：网络侦测，数据包嗅探，WEP和WP

版本说明：Medusa2.2下载地址：http://www.foofus.net/jmk/tools/medusa-2.2.tar.gz使用环境：linux(kali自带)工具说明：Medusa是一款密码爆破神器一、工具介绍Medusa旨在成为一个迅速，大规模并行，模块化，爆破登录。目标支持大部分允许远程登录的服务。以下是Medusa项目一些主要功能：·基于线程的并行测试。可以同时对多个主机，用

版本说明：hydra下载地址：https://github.com/vanhauser-thc/thc-hydra使用环境：linux(kali自带)工具说明：hydra是一款密码爆破神器一、下载安装Kali Linux：Hydra：Kali是安全从业人员常用的Linux系统，自带有大量安全工具集，Hydra自然也集成在里面，工具位置在密码攻击—在线攻击一栏。Windows中Hydra安装：

版本说明：cupp下载地址：https://github.com/Mebus/cupp使用环境：python3工具说明：cupp是一个社工密码字典生成工具一、工具说明Cupp是一款用Python语言写成的可交互性的字典生成脚本。尤其适合社会工程学，当你收集到目标的具体信息后，你就可以通过这个工具来智能化生成关于目标的字典。当对目标进行渗透测试的时候，常见密码爆破不成功，大批量的字典耗时太长时，就需

版本说明：hashcat6.1下载地址：https://hashcat.net/files/hashcat-6.1.1.7z使用环境：windows/linux(GPU)工具说明：hashcat是一款自称为世界上最快的密码破解工具一、工具介绍hashcat号称世界上最快的密码破解工具，世界上第一个和唯一的基于GPUGPU规则引擎，免费多GPU（高达128个GPU），多哈希，多操作系统（Linux和

中国菜刀一、安装二、使用中国蚁剑一、下载安装二、使用冰蝎一、安装二、使用Weevely一、安装二、使用中国菜刀 版本说明：中国菜刀2018 下载地址：见附件 使用环境：windows 工具说明：中国菜刀是一个非常好用而又强大的webshell管理工具，是一款专业的网站管理软件一、安装下载附件，双击其中的exe文件打开即可二、使用1.中国菜刀支持的服务端脚本：PHP、ASP、ASPX；2.主

版本说明：Beefxss下载地址：https://github.com/beefproject/beef/使用环境：Linux（ Ruby 2.5 + ，kali自带）工具说明：一款浏览器攻击框架，用 Ruby 语言开发的，Kali 中默认安装的一个模块，用于实现对 XSS 漏洞的攻击和利用。一、工具说明BeEF是The Browser Exploitation Framework的缩写。它是一种