自动化神器Yakit，风险与漏洞看得见！

对于yaklang语言的用户来说，此次升级是几乎无感知的，在升级的同时确保了 80% 的API无变动，但由于底层实现不尽相同，因此可能会存在某些不常用的函数（如。虽然 iv 是随机生成的，但是并不影响我们进行爆破，我们可以同样生成一个新的iv或者使用页面的iv也可。// 这里填写爆破的用户名和密码。，这证明我们已经成功将请求体进行加密，可以用于爆破，后续只需要在for循环填入需要爆破的用户名密码即

在黑盒的安全测试的工作开始的时候，打开网站一般来说可能仅仅是一个登录框；很多时候这种系统往往都是自研或者一些业务公司专门研发。最基础的情况下，我们会尝试使用 SQL 注入绕过或者爆破之类的常规手段，如果可以成功，那皆大欢喜；但是随着甲方系统研发的迭代与额外安全要求，简单的抓包重访变得非常困难。有什么容易的办法吗？本篇文章先为大家呈上两个秘技~

其中，若找到的输入框和提交按钮大于所需的数量，则会根据其对应element的内容进行关键词分析，得出其中最为可能的用户名输入框、密码输入框、可能存在的验证码输入框、验证码图片和提交登录按钮。在以后的优化方向上，会尝试接入一个简单的验证码图片识别模块，这个其实之前尝试过，但是当前比较轻量好用的验证码识别方式，无论是基于深度学习还是ocr，都大量集中在python环境下，golang环境下的验证码识别