注入XSS

– 即使没有XSS漏洞,也可以凌空向每个HTTP请求中注入XSS攻击代码
–一旦得手,影响范围巨大
– 如果中间人发生在运营商线路上,很难引起用户注意

Mitmf 安装

– 曾经号称最好用的中间人攻击工具(kali 2后默认未安装)
– apt-get install python-dev python-setuptools libpcap0.8
-dev libnetfilter-queue-dev libssl-dev libjpeg-dev libxml2-dev libxslt1-dev libcapstone3 libcapstone-dev libffi-dev file
– apt-get install mitmf – pip uninstall twisted
– wget http://twistedmatrix.com/Releases/Twisted/15.5/Twisted15.5.0.tar.bz2
– pip install ./Twisted-15.5.0.tar.bz2
—hsts
– HTTP Strict Transport Security
– 防止协议降级、cookie窃取
– 安全策略通过HTTP响应头”Strict-Transport-Security“实施
– 限制user-agent、https等
—filepwn
– 凌空插后门