最近项目遇到一个有趣的App，通过简单的hook ssl绕过就能正常抓包，但是数据包里面有Sign签名，签名算法又是使用java2c 并且做了混淆，如果想要对数据包修改，就很麻烦并且还涉及到了反Frida。在这个过程中可谓是一波三折，从frida到xposed再最后到frida折来折去，过程还是学到挺多

越来越多的桌面应用程序都使用了electron 开发，再加上最近私建企x爆发了xss漏洞，只要向特定用户发送消息就可以直接rce。所以想研究一下electron安全，本文主要是将了一下electron如何开发，和一些不安全配置下的Rce条件。目前最新版本electron的rce也是主要围绕三个安全配置来操作。

因项目需求，需要给 C/S 客户端应用系统做一次安全测试，特写此片文章来记录一下实战过程中所涉及的知识，欢迎各路大佬指点。

利用CF的Workers和KV实现反向代理钓鱼

一次内部攻防比赛过程记录分享，感觉还是比较有收获的，其中涉及到了代码审计、代码开发、域渗透、多层隧道渗透