当前主流Webshell免杀技术有哪些？（如代码混淆、流量加密、行为伪装等）如何通过修改代码结构（如PHP、ASP、JSP）绕过静态查杀？有哪些动态免杀方法（如内存加载、分离式执行）？

漏洞一：横向电话轰炸漏洞原理：通过F12发现存在语音验证码，只对同一手机号发送验证码做了限制，未对用户发送验证码次数做限制。1、小程序开局，通过全局代理抓包获取到的域名为xxx.com，电脑访问该域名如下：<img src="https://nc0.cdn.zkaq.cn/md/24439/20250615/8c684559-b77d-41f3-8a40-56000dedca67.

前言最近参加了一个内测项目，web应用完全找不到什么漏洞，刚好直接目标定位到了该厂商二开的公众号 以及小程序小程序中获取到了突破点，顺便分享一下，小程序的解包以及漏洞挖掘。工具Nodejs unpackMiniApp unveilr微信开发者工具https://mp.weixin.qq.com/debug?token=190488442&amp;lang=zh_CN解包 找到微信文件存储位

最近发现蛮多师傅在去挖补天、或者cnvd的时候，大批量去dump资产要证明归属，奈何一个一个的搜索提交又太繁琐，所以这里就写了一个小脚本