Yaklang 能力再提升:提供更好的中文漏洞信息展示

原创 已于 2023-11-03 14:23:14 修改 · 346 阅读 · 0
标签
#网络 #安全
于 2023-11-03 14:22:55 首次发布
本文介绍了如何利用Chatgpt增强Yakit工具,提供CVE和CWE的中文翻译,使得安全专业人员能更有效地管理和评估软件安全漏洞,提升工作效率。Yakit现在支持下载OpenAl优化的数据,并通过API查询漏洞信息,包括标题、描述和修复建议。

Yaklang 能力再提升:提供更好的中文漏洞信息展示

前言

漏洞信息展示是软件安全评估和管理过程中非常重要的一环,它可以帮助团队更好地理解和解决软件中的安全问题加快修复速度减少沟通成本并改进流程和工具。

CVE 是英文"Common Vulnerabilities and Exposures"的缩写,中文意为"公共漏洞和暴露"。它是一个全球通用的安全漏洞命名规范。每个 CVE ID 都是一个唯一的标识符,用于标识互联网上公开披露的计算机系统或软件产品中的漏洞或安全问题。CVE 的目的是为了帮助计算机安全专业人员更好地识别、报告和共享各种漏洞信息,以便尽快解决这些漏洞并提高网络的安全性。同时,CVE 还可以使不同厂商和组织之间的漏洞信息共享和交流更加简单和方便。

CWE 是 Common Weakness Enumeration(常见弱点枚举)的缩写,它是一种用于标识和分类软件安全问题的系统。CWE 主要关注软件中的弱点和安全漏洞,例如缓冲区溢出、代码注入、跨站点脚本攻击等。CWE 使用一个唯一的标识符来标识每个已知的软件安全问题,并提供详细的描述、示例和建议措施,以帮助开发人员和安全专业人员识别和修复这些问题。
长久以来CVE 的使用场景主要包括以下几个方面:

  1. 漏洞管理和修复:企业和组织可以通过查询 CVE 数据库,了解自身系统或应用中存在的漏洞,及时采取措施进行修复,提高网络安全性。
  2. 安全风险评估:信息安全专业人员可以借助 CVE 数据库,对某个系统或产品的安全风险进行评估和分析,从而制定相应的安全策略和措施。
  3. 漏洞研究和开发:安全研究人员可以利用 CVE 数据库中的已公开漏洞信息,进行相关漏洞研究
最低0.47元/天 解锁文章
YakProject
关注
Yak 命令行扫描指南
YakProject的博客
04-09 1305
出于各种原因,很多师傅提出想要使用 yak 命令行对目标系统发起扫描,在 Yaklang v1.3.1-sp3 的版本中,我们对yak 引擎中的许多功能添加了命令行支持,比如 scan(插件扫描)/yso(yak Ysoserial Util) ,本次就大家比较关心的命令行扫描功能进行介绍,一起来看看如何使用 yak 命令行进行扫描。可以使用关键字指定要扫描的插件,例如使用 "shiro" 关键字进行扫描,可以看到下面加载了五个插件,这次我们的目标输入使用。
[网络]公共网络安全漏洞库:CVE/CNCVE
dexi113的博客
07-05 2792
网络安全行业中最大的、影响范围最广的CVE为例。CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。
超级牛哭诉常年被认错,Yaklang和Yakit有哪些区别
YakProject的博客
09-18 1173
天命人们大家好黑猴大家都通关了吗这里是一觉睡醒要再上30+年班的超级马喽牛先提前祝大家经常有小伙伴问“Yakit怎么报错了?“YAK和Yakit有什么区别?牛牛委屈无能狂怒(标题致歉,封面致歉,ooc致歉今天的文章,就来为大家集中解答一波Yaklang是一种。其目标在于解决安全产品整合过程中所面临的技术挑战,例如不同产品之间的互操作性问题以及安全工具开发过程中的效率和一致性问题。作为一门编程语言,Yaklang能够。
Yaklang 又一“杀手级“功能发布!
YakProject的博客
11-01 409
肯定是使用频率最高的,今天的主角就是我们的 Web Fuzzer 模块,在原有的功能基础上,我们给 Web Fuzzer 添加了一个被称为 Web Fuzzer 序列(Web Fuzzer Sequence)的功能,简单概括就是——Web Fuzzer 序列功能可以串联起多个 Web Fuzzer 节点页面,同时下级节点节点可以自由选择是否继承上级节点的变量(Cookie或其他数据)。中设置一下上面中声明的变量,可以发现,直接发送请求,结果是为空的,这是因为单独发送这一个请求,是没有。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4675
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Yakit安装配置与核心功能实测:国产渗透测试工具深度体验
最新发布
cuiyingchan0663的博客
06-18 357
网络安全领域,渗透测试工具是安全工程师进行漏洞挖掘与风险评估的核心装备。其工作原理通常基于代理抓包、漏洞扫描、模糊测试等技术,通过模拟攻击者行为来发现系统潜在的安全隐患。这类工具的技术价值在于提升测试效率、标准化测试流程,并降低安全测试的门槛。在应用场景上,它们广泛用于Web应用安全评估、移动应用测试、API接口审计以及日常的安全巡检。本文聚焦于Yakit这款新兴的国产一体化安全测试平台,它集成了端口扫描、漏洞检测、中间人代理(MITM)和爆破等核心功能,并内置了Yak脚本执行环境。相较于传统工具,Yak
Yaklang 项目使用教程
gitblog_01090的博客
01-23 891
Yaklang 项目的目录结构如下: ``` yaklang/ ├── devcontainer/ ├── github/workflows/ ├── common/ ├── docs/ ├── embed/ ├── imgs/ ├── scannode/ ├── scripts/ ├── .gitignore ├── LICENSE.md ├── README.md ├── README_EN
Yaklang 升级: 更灵活的语法让写插件变得更轻松
YakProject的博客
11-03 292
本篇介绍了Yaklang的部分更新,真的很好用,师傅们可以在插件中使用新语法了,完整的介绍可以看官网。
yaklang window安装 vscode运行得到“hello world”
qq_40450969的博客
06-30 526
然后随便创建一个文件夹,命名为yak_demo,vscode open folder打开该文件夹,创建demo.yak文件,文件里输入。然后在底下terminal页面就可以看到“hello world”了,就大获成功啦!安装vscode,打开插件市场安装yaklang插件。然后右键,yak exec file运行文件。
Yaklang 中的类型和变量
夜未至
01-20 1270
var a // 声明变量avar b, c // 声明变量b,cvar d, e = 1, 2 // 声明变量d,e并分别赋值为1,2a, b = 1, 2 // 此时a=1, b=2# 定义一个 Map 类型的变量dump(m);# 定义一个 Map 类型的变量dump(m);
网络安全单兵工具 -- Yakit的简介和安装
m0_60045654的博客
11-27 7510
基于安全融合的理念,Yaklang.io 团队研发出了安全领域垂直语言Yaklang,对于一些无法原生集成在Yak平台中的产品/工具,利用Yaklang可以重新编写他们的“高质量替代”。对于一些生态完整且认可度较高的产品,Yaklang能直接编译融合,并对源码进行必要修改,更好地适配Yaklang语言。但是限于使用形式,用户想要熟练使用Yak 语言,需要学习Yak语言并同时具备对安全的一定理解。
Yaklang websocket劫持教程
Innocence_0的博客
09-13 595
随着Web应用的发展与动态网页的普及,越来越多的场景需要数据动态刷新功能。在早期时,我们通常使用轮询的方式(即客户端每隔一段时间询问一次服务器)来实现,但是这种实现方式缺点很明显:大量请求实际上是无效的,这导致了大量带宽的浪费。这时候我们急需一个新的技术来解决这一痛点,Websocket应运而生: WebSocket是一种网络传输协议,可在单个TCP连接上进行,位于OSI模型的应用层。Websocket的诞生也给我们带来了新的挑战,我们能否对websocket的请求与响应进行劫持与修改呢?
安全研发启蒙课:合理使用协程优化YAK插件
Karka_的博客
08-06 220
对于一些频繁需要发包操作的插件,我们可以通过协程去实现并发操作,来优化插件的使用体验,对于使用协程不太熟悉的同学可以使用例子中使用的协程池操作。频繁需要发包操作的插件,我们可以通过协程去实现并发操作,来优化插件的使用体验,对于使用协程不太熟悉的同学可以使用例子中使用的协程池操作。
抱歉占用公共资源,大家别猜啦,我们在一起了@Yaker
YakProject的博客
09-23 843
Yak对于块作用域的处理
上新!更强大的JS引擎:goja
YakProject的博客
04-26 1897
对于yaklang语言的用户来说,此次升级是几乎无感知的,在升级的同时确保了 80% 的API无变动,但由于底层实现不尽相同,因此可能会存在某些不常用的函数(如。虽然 iv 是随机生成的,但是并不影响我们进行爆破,我们可以同样生成一个新的iv或者使用页面的iv也可。// 这里填写爆破的用户名和密码。,这证明我们已经成功将请求体进行加密,可以用于爆破,后续只需要在for循环填入需要爆破的用户名密码即可。的语法树解析实现存在一些问题,因此在遇到一些执行压缩过后的 JavaScript 第三方依赖(如常见的。
Yaklang XSS 检测启发式算法(被动扫描插件)
Innocence_0的博客
10-04 213
上一篇介绍了XSS 启发式检测基础设施,本篇通过yak提供的基础设施编写一个xss检测插件。本次xss靶场使用pentesterlab的xss靶场。
CVE申请系列(1)——CVE简介
Kni9hT's Blog
01-14 2368
参考:CVE申请的那些事 1.什么是CVE CVE的全称是“Common Vulnerabilities and Exposures”,翻译成中文就是“公共漏洞和披露”。它相当于一个搜集了很多安全漏洞漏洞库,不同的漏洞信息对应着一个不同的CVE编号,所谓申请CVE也就是申请一个CVE编号。 2.CVE授权机构CNA CNA的全称是“CVE Numbering Authority”,中文可以理解为...
CVE漏洞知识库介绍
binzhu1987的专栏
07-24 8872
    CVE的英文全称是Common Vulnerabilities and Exposures公共漏洞和风险。CVE就好象是一个字典,为大家广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。由于漏洞的本质特性,导致每个漏洞都有许多特征,在MITRE还没有创建CVE之前,不同的厂商在对同一个漏洞进行称谓时,各厂商各抓住漏洞的某一特征,使用完全不同的名称,这样让使用其产品的用户不知所
几个cve漏洞库查询网站
热门推荐
zhongxj183的博客
08-06 6万+
分享几个cve漏洞库查询网站,自己在工作中经常用到 阿里云漏洞库 https://avd.aliyun.com/nvd/list tenable漏洞库(nessus) https://www.tenable.com/cve/search https://cve.mitre.org/cve/search_cve_list.html https://nvd.nist.gov/vuln/search https://www.securityfocus.com/bid ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值