本期分享文章分享的是 Yakit 最近上线的流量分析功能。

在 Web 安全测试中，我们经常面临下面两大核心诉求：

01 如何快速定位关键流量数据？

02 如何深度挖掘历史流量价值？

而流量分析功能则补全了这块拼图，让用户能够二次利用历史数据，挖掘出有价值的流量。

在代码审计产品从yakit分离出来作为单独产品的这一段时间中，除了底层ssa bug的修复和syntaxflow规则编写之外，我还利用irify做了一些新尝试，比如：

·对某些CVE进行复现，并且进行指定框架/某些漏洞的查缺补漏。

·进行未知的漏洞挖掘，并且进行CVE漏洞提交。

在开始读取文章之前，你可以对代码审计是弱基础，基于irify工具进行漏洞挖掘，会对代码审计流程进行优化，简化审计流程。希望读者也可以通过irify的助力去进行深入的代码审计。

**前文指路：**Yak，公众号：Yak ProjectJava 反编译技术（一）

之前的文章为大家介绍过

在上一篇文章中介绍了 Syntaxflow 的基础用法以及在 Java 中的实战应用，本篇文章主要用于丰富一些在编写规则上的实战细节

SyntaxFlow作为Yaklang的重要功能，可以适配多种应用场景，广受用户青睐

2025年2月春节前后，DeepSeek R1 完全开源短短几周，某些CloseAI藏掖的优势（高智能与推理）被重塑了。

我本是一个对 AI 在安全领域非常悲观的安全从业人员，但是在这个浪潮下，甚至开始不得不思考手里几十万行代码的出路是什么，推理的优势真的可以抹平“代码”这个本身就很复杂的体系的积累吗？

(本文写在 Yak Project 开年之后，旨在揭示在 AI Agentic 的大背景下，Yak Project 的发展方向。)

JWT（JSON Web Token）是一种广泛使用的身份验证和授权机制，但由于其设计和实现的特点，可能存在一些安全漏洞。yak靶场内置了两个常见jwt漏洞类型，本文章介绍下分析过程和利用方式。

软件成分分析（SCA）是一种用来识别分析某一个软件中所使用的组件与第三方库的来源、版本、许可证信息的技术。这些组件和库可能来源于开源社区、商业供应商或是企业自行开发，其存在很多潜在的安全合规问题。

SyntaxFlow 能够解析依赖包的版本信息，同时也允许用户编写规则来分析这些版本信息。通过对依赖版本的检测，可以有效识别项目中存在已知漏洞的依赖包，从而提升代码的安全性和稳定性。

什么是 Js-Forward​

JS-Forward是一款可以配合抓包软件的脚本，脚本的功能是可以将js里面的参数通过Http请求将参数发送出来，在外部(例如Yakit的MITM中)进行修改，最后将修改后的返回值再替换回原参数。在一些特定场景是可以方便做功能测试。比较常见是在JS加密解密场景下使用。