XSSI 漏洞总结
XSSI漏洞原理同源策略XSSI原理XSSI、XSS、CSRF的区别与jsonp劫持的关系XSSI漏洞利用以及POC静态JavaScript(常规XSSI)动态JavaScript1.敏感信息存储在全局变量2.敏感信息被外部函数处理,可以重写函数3.利用原型链窃取敏感信息非JavaScript1.IE bug导致错误信息泄漏 (ie 9 和 ie 10)2.通过UTF-16编码获取其它类型的数据
网络封包分析软件 - wireshark
版本说明:wireshark下载地址:https://www.wireshark.org/#download使用环境:Linux/Windows(kali自带)工具说明:Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息,注:Wireshark只能查看数据包,而不能修改数据包的内容,或者发送数据包一、下载安装kali_linux中自带wiresharkw
“中间人”攻击神器 - ettercap
版本说明:ettercap0.8.3下载地址:https://github.com/Ettercap/ettercap/archive/v0.8.3.1.tar.gz使用环境:Linux(kali自带),官方只提供源码,需要编译,建议在kali里面直接使用工具说明:Ettercap是一个综合性的中间人攻击工具,使用它可以进行ARP欺骗、拦截器、DNS欺骗等常见的中间人攻击。基础知识0x01 ARP
无线密码破解工具 - Aircrack-ng
版本说明:Aircrack-ng1.6下载地址:https://download.aircrack-ng.org/aircrack-ng-1.6.tar.gz使用环境:Linux/Windows(kali自带)工具说明:Aircrack-ng 是一款无线密码破解工具一、工具说明Aircrack-ng是一个与802.11标准的无线网络分析有关的安全软件,主要功能有:网络侦测,数据包嗅探,WEP和WP
密码爆破工具 - Medusa
版本说明:Medusa2.2下载地址:http://www.foofus.net/jmk/tools/medusa-2.2.tar.gz使用环境:linux(kali自带)工具说明:Medusa是一款密码爆破神器一、工具介绍Medusa旨在成为一个迅速,大规模并行,模块化,爆破登录。目标支持大部分允许远程登录的服务。以下是Medusa项目一些主要功能:·基于线程的并行测试。可以同时对多个主机,用
爆破神器 - hydra
版本说明:hydra下载地址:https://github.com/vanhauser-thc/thc-hydra使用环境:linux(kali自带)工具说明:hydra是一款密码爆破神器一、下载安装Kali Linux:Hydra:Kali是安全从业人员常用的Linux系统,自带有大量安全工具集,Hydra自然也集成在里面,工具位置在密码攻击—在线攻击一栏。Windows中Hydra安装:
密码生成工具 - cupp
版本说明:cupp下载地址:https://github.com/Mebus/cupp使用环境:python3工具说明:cupp是一个社工密码字典生成工具一、工具说明Cupp是一款用Python语言写成的可交互性的字典生成脚本。尤其适合社会工程学,当你收集到目标的具体信息后,你就可以通过这个工具来智能化生成关于目标的字典。当对目标进行渗透测试的时候,常见密码爆破不成功,大批量的字典耗时太长时,就需
密码破解工具 - hashcat
版本说明:hashcat6.1下载地址:https://hashcat.net/files/hashcat-6.1.1.7z使用环境:windows/linux(GPU)工具说明:hashcat是一款自称为世界上最快的密码破解工具一、工具介绍hashcat号称世界上最快的密码破解工具,世界上第一个和唯一的基于GPUGPU规则引擎,免费多GPU(高达128个GPU),多哈希,多操作系统(Linux和
webshell管理工具(菜刀、蚁剑、冰蝎、Weevely)
中国菜刀一、安装二、使用中国蚁剑一、下载安装二、使用冰蝎一、安装二、使用Weevely一、安装二、使用中国菜刀 版本说明:中国菜刀2018 下载地址:见附件 使用环境:windows 工具说明:中国菜刀是一个非常好用而又强大的webshell管理工具,是一款专业的网站管理软件一、安装下载附件,双击其中的exe文件打开即可二、使用1.中国菜刀支持的服务端脚本:PHP、ASP、ASPX;2.主
浏览器攻击框架 - Beefxss
版本说明:Beefxss下载地址:https://github.com/beefproject/beef/使用环境:Linux( Ruby 2.5 + ,kali自带)工具说明:一款浏览器攻击框架,用 Ruby 语言开发的,Kali 中默认安装的一个模块,用于实现对 XSS 漏洞的攻击和利用。一、工具说明BeEF是The Browser Exploitation Framework的缩写。它是一种