45 篇博文 含有标签「2025 年」

JWT（JSON Web Token）是一种广泛使用的身份验证和授权机制，但由于其设计和实现的特点，可能存在一些安全漏洞。yak靶场内置了两个常见jwt漏洞类型，本文章介绍下分析过程和利用方式。

软件成分分析（SCA）是一种用来识别分析某一个软件中所使用的组件与第三方库的来源、版本、许可证信息的技术。这些组件和库可能来源于开源社区、商业供应商或是企业自行开发，其存在很多潜在的安全合规问题。

SyntaxFlow 能够解析依赖包的版本信息，同时也允许用户编写规则来分析这些版本信息。通过对依赖版本的检测，可以有效识别项目中存在已知漏洞的依赖包，从而提升代码的安全性和稳定性。

什么是 Js-Forward​

JS-Forward是一款可以配合抓包软件的脚本，脚本的功能是可以将js里面的参数通过Http请求将参数发送出来，在外部(例如Yakit的MITM中)进行修改，最后将修改后的返回值再替换回原参数。在一些特定场景是可以方便做功能测试。比较常见是在JS加密解密场景下使用。

php中有很多框架，比如laravel、thinkphp以及普通的MVC，而这些框架中还有一些二开框架，比如，thinkcmf、fastadmin等等。

而目前的内置规则也不能完全覆盖到所有的情况，需要使用者去"见招拆招"，才能发挥最大价值。

规则管理 是代码审计继代码审计、代码扫描和项目管理后又一新的功能模块。目前已在最新版的Yakit上线。有了规则管理以后，用户能够更为方便地使用Yakit创建、调试与管理SyntaxFlow规则。