我的2025年终总结

又是一年冬天，仿佛上一次写年终总结时就在昨天，唯一不同的是我现在在飞机上，看着窗外掠过的浮云，如同我的回忆一般触摸不及。其实此前我已经写过两次年终总结了，这是第三次，因为我觉得之前那两版写的总是有些差

今日有感

今天有朋友问我插件有没有可以输出站点加密参数的脚本，例如key iv这些，我惊叹：你个假粉丝，进群一个月不知道插件有这样的脚本？其实不乏他一个，很多人都用过我的插件，但是都不知道我插件有这种类型的脚本

AntiDebug_Breaker v2.5更新

前言距离上次发布v1.5的文章已经有一个月了，目前AntiDebug_Breaker已经有600 star，非常感谢关注本项目的所有朋友们，没有你们的支持插件也不会走到现在。在昨天我已经发布了v2.5

JS逆向系列25-详解如何实现非对称自动化加解密

0x00 前言去年我发过两篇讲解自动化加解密的文章：JS逆向系列07-实战详解如何实现自动化加解密和JS逆向系列08-双层mitmproxy代理实现自动化加解密，我原本以为自动化加解密系列至此就结束了

Hook前端加密库CryptoJS && JSEncrypt RSA

正文目前我已经完善了Hook CryptoJS的脚本，新增对该库中的所有哈希以及HMAC算法进行hook，所以从客观来说，本脚本目前已经涵盖了CryptoJS库中的大部分加密算法，下面是效果：测试地址

秒杀CryptoJS所有对称加密 工具集

正文脚本地址：https://github.com/0xsdeo/Hook_JS/blob/main/Hook_CryptoJS/Hook_CryptoJS_%E5%AF%B9%E7%A7%B0%E5

JS逆向系列24-Hook CryptoJS所有对称加密算法（续）

0x00 前言首先非常感谢所有支持过我插件的朋友们，如果没有各位的支持，AntiDebug_Breaker也不会衍生出目前已有的这些功能。这篇续文我将讲述一下我为昨天更新的脚本进行的一些修改，以下是修

JS逆向系列23-Hook CryptoJS所有对称加密算法

0x00 前言说实话今天写的内容可能比较爆炸，单看标题就已经够炸裂了，至少我是这么认为的，我先给大家看一下hook后的成品吧：光是这几张图我认为足以能体现出其炸裂程度，从我目前的视角来看，这个脚本一经

AntiDebug_Breaker v1.5更新

前言首先感谢各位能关注本项目，我目前已经在b站上发了针对本插件的最新使用教程，将每个脚本的使用场景都讲了一下：反调试：https://www.bilibili.com/video/BV1gQ4mzME

爬虫练习平台SpiderDemo发布！

SpiderDemo我们很高兴宣布 SpiderDemo 正式发布！作为一个攻防对抗网站，本网站目前于2025年10月09日，正式发布靶场网址:https://www.spiderdemo.cnima

最大化获取Vue框架(SPA类型)下的路由

0x00 前言在最大化收集Vue框架(SPA类型)下的js中我提出了一个重要观点：想要最大化且快速的收集Vue框架(SPA类型)下的js就需要进入目标站点下的所有路由，当你访问这些路由时就会加载各个路

JS Hook脚本分享 | 秒杀路由守卫

Clear_vue_Navigation_Guards脚本描述：清除vue的全局前置守卫和全局解析守卫，清除前会打印出设置路由守卫的方法。脚本地址：https://github.com/0xsdeo/

最大化收集Vue框架(SPA类型)下的js

0x00 前言我有很长一段时间没有更新与web安全有关的内容了，这两天我学习了一下Vue，今天我就将我所学到的一些内容汇总到这篇文章中并分享出来。注：1.本文不会涉及到fuzz js文件。2.本文假设

JS逆向系列22-彻底解决前端无限debugger

0x00 前言作为我离职后的第一篇文章，我决定将解决无限debugger作为本篇文章的主题，方便读者朋友们以后在遇到无限debugger时能快速解决。在很久之前我发过一篇JS逆向系列14-Bypass

绿盟实习小记

昨天我结束了我在绿盟的实习，心中有些感悟想借此机会发出来，顺便也给同龄的朋友们一点忠告。其实我很感谢绿盟，感谢绿盟能收我做实习生。在今年五月份初的时候，我开始找实习，找了一周后我发现，基本上都是看都不

荣耀SRC | 邀请你，挖秋天的第一个漏洞！

反调试破除者--AntiDebug_Breaker

前言应该有不少读者朋友都知道我有一个Hook_JS库，这个库从创建到现在为止，已有242个star，80个fork，并且被很多星主，博主转发过，在此我也感谢大家对Hook_JS库的关注与支持。但在前段

【0day】Telegram私密群组/频道未授权访问

免责声明❝由于传播、利用本公众号"隼目安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"隼目安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,

JS逆向系列21-hook绕过表单禁止复制粘贴(其一)

0x00 前言在往常我们可能会不可避免的碰到一些禁止复制粘贴的网站，比如我最近工作的时候拿到过一些日常必须要用到的系统，但是它就是禁止粘贴密码，导致我办公时不太方便，所以为了解决这种问题，遂出一期文章

PHP_webshell免杀-绕过主流引擎通杀方案

0x00 前言思索万千，决定发表。本文提到的通杀方案截至到今日之前一直是有效的。注：本文将不会细讲各个思路该如何利用。0x01 正文先给大家看一下免杀效果：可以看到，我这段通杀方案能够秒杀以上这些常见

PHP_webshell免杀07-eval过长亭通杀方案

0x00 前言就在刚刚，我绕过了长亭：此刻我的心情十分复杂，因为我在尝试绕过其他查杀引擎，虽然其他查杀引擎没绕过掉，但没想到这招居然绕过了长亭，并且是无感绕过，并不影响后续连接webshell。我现在

PHP_webshell免杀05-再谈eval过D盾通杀方案

0x00 正文刚刚我连发了两条朋友圈：先给大家看看我发了什么，这是第一条朋友圈：这是第二条朋友圈：没错，可能有读者朋友记得我在2月份时发过一篇eval过D盾通杀方案：刚刚我突发奇想，我想看看这个方案现

JS Hook脚本分享 | Hook_xhr(assign)

前言今天尝试逆了一下某potato，逆的过程中用了一下我的Hook_xhr脚本，当我想指定抓取某个请求头时发现还得改代码，这也让我发现了这个脚本的不足，所以我又重新开了个Hook_xhr(assign

JS逆向系列20-某鱼sign分析

0x00 前言趁五一结束前再更新一篇文章，我突然意识到我好像很久没发关于逆向的文章了，所以今天就来更一篇针对某鱼的sign分析，难度为简单，初学者可以看一看这篇文章。0x01 正文打开某鱼：打开F12

再谈xss水坑攻击

0x00 前言其实这篇文章我早在过年那会就已经开始写了，一直拖到现在是因为没太多时间继续往下写。在之前我是发过一篇浅谈xss水坑攻击的文章，今天想给大家带来的是我写的一个xss水坑攻击的攻击模板以及其

xss-labs level11 - level20

0x00 前言首先祝各位读者朋友们五一快乐，这段时间确实是鸽了很久，我大概快有一个月没发文章了，因为最近有很多事情在忙，不过正好可以趁这次五一更几篇文章证明一下我还在，等这段时间忙完了发文频率应该就会

xss-labs level1 - level10

0x00 前言其实我一直没打过靶场，我刚入门那会觉得打靶场很浪费时间，所以我后来都是直接实战挖洞的。不过现在我觉得打打靶场也挺有意思的，查漏补缺也没什么坏处，所以本期文章我会从xss-labs这个靶场

阶段性过渡(附个人学习路线)

前提提要1.这篇文章依然是和我之前发的2024总结一样不会开推荐。2.本文所有内容仅代表我个人观点，如果和您的观点不一致，可以随时加我微信和我沟通。正文各位晚上好，我是0xsdeo，昨天对我来说是一个

JS逆向系列19-无感绕过一类运行时间差反调试

0x00 前言在开始正文之前，我想先和大家讲一件我去年下半年专注过的一件事。经常看我文章的读者朋友应该都知道，我有一段时间特别专注于绕过location的一些属性和方法，例如location.href

探索挖掘xss中括号被转义的绕过措施(续)

0x00 前言临时更一篇，这篇文章本不在更新计划中，直到上周有师傅留言：其实我那篇文章中有简单提到过：但是我没细讲，给出的payload也只是弹窗和打印，没有什么太大危害：所以如果大家想要危害比较大的