1、Spring Framework RCE（CVE-2022-22965） 参考链接：https://github.com/mcdulltii/SpringShell_0-day/ 漏洞环境是vulfocus提供的。31日下午根据g

背景近年来，各种小程序层出不穷。在挖漏洞过程中很容易忽视小程序这一点，实际上小地方容易出大货，在此总结记录一些渗透小程序的思路和遇到的坑，持续更新，未完待续。。。 思路 参考链接：https://mp.weixin.qq.com/s/V2

前言常用的抓包工具：burpsuite、Fiddler、黄鸟（httpcanary）、HTTP Debugger、charles。 在对app进行测试的时候经常遇到无法抓包的情况，对此做了个总结，未完待续，持续更新中… 防止抓包手段对代理抓

0x1 背景​ 在一次iOS渗透测试中遇到的，情况比较特殊，就顺手记录一下。 0x2 过程​ 先尝试性放了一个XSS的payload进去，抓包看流量。可以发现数据包被加密了。 ​ 虽然app的流量