目录[TOC]1 客户端信息收集通过 DIE 查壳和开发技术Process Monitor（ProcMon） 监控应用的所有操作Process Hacker 查看进程和命令行参数regshot，注册表备份工具，可以用来对比两次备份的区别，导出不同的部分，看看应用改了那些注册表。direc......

目录[TOC]Multi-Threading（多线程）进程（process）：进程是正在运行的程序，会主动为程序分配一块内存空间。线程（thread）：进程里面一定会有个线程用于执行任务。一个进程同一时间只能执行一个任务有点浪费多核心 CPU 资源，可以创建多个线程，让程序同时执行多条任......

目录[TOC]Reflection（反射）反射（Reflection）用于操作字节码文件，可以调用任意类中所有成员变量、方法，或是获取定义的信息。java.lang.Class 类Class 类代表一个类的类，可以通过 Class 获取当前运行对象中任意成员变量和方法。所有的操作类之前需......

目录[TOC]前言本文介绍 Android 和 iOS 平台无法抓包问题产生原因和具体解决操作步骤，按照操作大部分问题可以解决，更加深入需要研究 Hook、Reverse，这不在本文涵盖范围内。文中特殊符号约定：Wanning 作为警告，一些特殊操作需要注意。Tips 介绍信息或提示操作......

目录[TOC]简介Server-Side Template Injection 2015 年由 James Kettle 在 Black Hat 提出完整利用链 SSTI 至此普及开来。说到后端模板与之对应的还有前端模板（CSTI），就是各种前端框架模板，一般危害就是执行 JS 代码。本......

目录[TOC]简介小程序（Mini Program）17 年提出，多见于工具应用，如健康码，打开就用，用完就关。小程序前端技术和前端框架一样，也是 MVVM 模式开发，后端由其他服务提供数据。利用微信官方给出开发原则，看完大概就能清楚常遇到的安全测试项有哪些。互不信任原则，不要信任用户提......