安全基础设施|Yaklang SQL Injection 检测启发式算法 前言在插件发布后许多师傅都使用了这款 SQL 注入检测插件，在使用过程中发现了很多问题，在这里也是十分感谢对插件提出改进意见的师傅们。师傅们反映的主要问题还是此类插件一个老生常谈的问题——误报。尤其是... 2022-12-1 17:31:34 | 阅读: 17 | 收藏 | Yak Project 误报 yak 注入 脚本 sqlmap

YakVM：编写栈机虚拟机分离语法编译与运行时 0.0在以快速迭代和功能试错为主的旧 Yaklang 模式下，我们遇到了很多新的需求无法实现：动态调试、更智能的类型“推断”、解释步骤中编译与执行…如果我们旨在满足小团队使用，上述需求不做也罢，大家更... 2022-11-25 17:31:21 | 阅读: 21 | 收藏 | Yak Project yaklang lua g4 yak 安全

征文投稿|用Yakit实现Match Extract功能 背景Burp⾥有Match Extract，而在Yakit里可以通过"预加载参数⽣成器" 来获取token插入，跟大家简单分享下实现过程。进入正题要提取token，首先得找到提取token的正则，这里... 2022-11-18 17:5:34 | 阅读: 24 | 收藏 | Yak Project yakit fuzzer 发包 fuzztag 成器

仅需10秒！从批量爆破请求中提取关键数据，安全能力基座功能强化ing 在 Fuzztag 被大家接受并广泛使用之后，一个老需求变得急迫了起来。安全基础设施：用Fuzztag优雅地生成与变形任何Payload从 Web Fuzzer 刚投入使用 Fuzztag 还在内测时... 2022-11-11 17:33:4 | 阅读: 15 | 收藏 | Yak Project 数据 fuzztag 遍历 急迫 捕获

征文投稿|当Yakit 与 B*** S**te正面对碰！ 背景众所周知，BurpSuite几乎成为全球WEB安全从业者必用的安全测试工具，然而十余年来尚无一个可替代的解决方案。破解版被投毒风险高、商业版太贵、插件难写、依赖java…等等问题逐渐显露。于我个人... 2022-11-3 17:31:36 | 阅读: 13 | 收藏 | Yak Project payload 模块 burp yakit 流量

征文投稿|安全能力基座Yakit，端口扫描又快又准！ 文章背景借助Yakit这个集成化工具平台的端口扫描相关能力，实现了准确快速且全面的端口扫描。并将过程在这里分享一下，望在诸君用到之时能有所帮助。资产膨胀解决我们在端口扫描的过程中，经常会遇到某些防火墙... 2022-10-27 17:31:42 | 阅读: 23 | 收藏 | Yak Project 端口 膨胀 top20 yakit

更新通知！！！ Yakit 1.1.3-sp2 1.新增了 MITM HTTP/2.0 开关，以控制 HTTP2 在 MITM 中是否被自动降级； 2. 修复tag搜索、关键字搜索； 3. 修复Web Fuzzer调试模式编码问题； 4. MITM、端口扫描、插件批量执行等页面新增插件组功能，将常用插件进行分组，方便快速进行选择； 5. MITM插件选择新增清空和记忆功能，退出后再进入劫持页面，会自动勾选上次选择的插件； 6. 修改插件后再登录，会保持停留在插件修改页面，不刷新页面。 师傅们可以下载使用了！！！ 2022-10-25 11:28:3 | 阅读: 20 | 收藏 | Yak Project

安全基础设施：用Fuzztag优雅地生成与变形任何Payload 背景在 Web Fuzzer 中，我们实现 BurpSuite Intruder 的代替是使用一种名字叫 Fuzztag 的全新机制，这种机制在以前并没有出现在任何安全工具和产品中，因此它对于绝大多数... 2022-10-20 17:32:11 | 阅读: 17 | 收藏 | Yak Project fuzztag php payload username 爆破

新功能：史上最好用的反连&JavaHack，安全能力基座强化ing 反序列化、类加载、JNDI漏洞利用是Java漏洞中特别常见的几种类型，但相对来说利用过程又是较为复杂的。所以Yakit提供了两个特别好用的功能，无需Java环境，仅需一个Yakit。下面先介绍下使用方... 2022-10-13 17:33:19 | 阅读: 34 | 收藏 | Yak Project yak payload yakit 漏洞 端口

【国庆送礼】《关于我用Yakit实现自力更生这件事》 背景众所周知，我们在渗透测试过程中会使用到各式各样的工具同时也会使用到一款被动扫描的工具虽然X-Ray可以满足这一要求但X-Ray需要和其他工具进行联动需要开启多个工具但是我们可以使用Yakit自行编... 2022-9-29 17:1:56 | 阅读: 17 | 收藏 | Yak Project 端口 yakit yak

Yakit插件征集活动获奖名单出炉！ Yakit原创插件有奖征集活动，历经两周的作品征集期和一周的作品评审期，活动目前已经圆满落幕啦！本次活动面向各位Yakit用户开发者，鼓励大家用基于Yakit用Yaklang编写插件，为Yakit赋能... 2022-9-22 17:32:3 | 阅读: 122 | 收藏 | Yak Project 漏洞 fariy 信息 用友 yakit

插件分析|Yaklang SQL Injection 检测启发式算法 相关背景“ sqlmap作为一个老牌的成熟的SQL漏洞扫描工具，在SQL注入自动化检测领域独占一壁江山。而现在的SQL注入检测往往是通过被动扫描检出，再通过sqlmap或者手工注入的方式进行进一步的漏... 2022-9-22 17:32:0 | 阅读: 22 | 收藏 | Yak Project 注入 闭合 sqlmap 边界 漏洞

你们要的 [Yaklang websocket劫持]教程来了！ 背景随着Web应用的发展与动态网页的普及，越来越多的场景需要数据动态刷新功能。在早期时，我们通常使用轮询的方式(即客户端每隔一段时间询问一次服务器)来实现，但是这种实现方式缺点很明显: 大量请求实际上... 2022-9-20 17:2:17 | 阅读: 32 | 收藏 | Yak Project 数据 劫持 payload masking 掩码

你们要的 [Yaklang websocke劫持]教程来了！ 该内容已被发布者删除... 2022-9-19 17:45:21 | 阅读: 20 | 收藏 | Yak Project 发布者

技术解析｜朋友圈为何突然出现了那么多只“羊” 这两天，有个游戏——“羊了个羊”突然火了，连续几天挂在热搜top，热度直追几个月前的“召唤神龙”，身边的人都在玩。魔性的约德尔bgm和普通disco更是让人欲罢不能。 这个界面，更是堪称新一代的玩家噩... 2022-9-15 18:14:11 | 阅读: 13 | 收藏 | Yak Project 证书 yakit 代理 漏洞 通关

只需几步，轻松实现即时分享，探索渗透协作新模式！ Background集群作战即使安全领域是一个 “个人英雄主义” 至上的领域，但是在实际工作中，面对庞大的资产和打点范围，安全测试小分队仍然是主流，这些小分队的集群作战是大家日常工作的常态。渗透测试小... 2022-9-6 17:0:25 | 阅读: 26 | 收藏 | Yak Project 数据 小队 yakit fuzzer 渗透

找牛人写牛文！—Yakit有奖征文活动正式启动！ 活动概览补充说明1.收到投稿后，我们会根据文章的内容质量、深度以及研究方向进行筛选和收录。通过筛选的文章，将陆续通过Yak Project 微信公众号进行发布，并同步到Yaklang自媒体各渠道，包括... 2022-9-2 17:32:13 | 阅读: 29 | 收藏 | Yak Project 稿费 数据 征文 计入

值得珍藏！网络安全领域DSL的第一本白皮书 互联网的高速发展，使得网络安全走进大众视野。分析近两月的热点数据，网络安全也一直保持在较高的热度水平，在话题榜占有一席之地。但在收获多方关注和高话题度的背后，对易遭风险的企业而言也存在一些发人深省的问... 2022-9-2 17:32:5 | 阅读: 20 | 收藏 | Yak Project 安全 yakit yaklang 网络

安全研发启蒙课: 子域名收集联动Yak漏扫插件 上期讲了如何低成本写一个被动扫描脚本，这期写一个主动扫描脚本。Yakit的基础安全工具中有一个子域名收集插件十分方便，本篇文章对这个插件做点改造，让它与漏扫插件联动，输入目标就可以自动化扫描漏洞。Ya... 2022-8-29 17:0:22 | 阅读: 20 | 收藏 | Yak Project yakit network subdomain 端口

Yakit原创插件有奖征集啦！奖品就绪，等你来拿 Yakit关于活动的常见Q&AQ：技术奖、人气奖和参与奖可以同时获得吗？A：上传的插件作品只要符合各奖项的评选标准，即可以同时获得。Q：上传插件作品的数量是否有限制？A：每人可提交的插件数量没有限制。... 2022-8-26 16:53:16 | 阅读: 24 | 收藏 | Yak Project ya yakit 信息 技术奖