Слияние кода завершено, страница обновится автоматически
Этот инструмент предназначен только для законных и авторизованных действий построения корпоративной безопасности и личного обучения. Если вы хотите проверить работоспособность этого инструмента, создайте собственную среду для тестирования.
При использовании этого инструмента для проверки, убедитесь, что ваши действия соответствуют местным законам и нормативам, и что у вас есть необходимые разрешения. Не проводите сканирование на незарегистрированных целях.
Запрещается разработка обратной инженерии, декомпиляция, попытки расшифровки исходного кода, внедрение бэкдоров и распространение вредоносного ПО.
Если вы обнаружите вышеупомянутые запрещенные действия, мы оставляем за собой право преследовать вас в судебном порядке.
Если вы используете этот инструмент и совершаете какие-либо незаконные действия, вы несете полную ответственность за последствия. Мы не несем никакой юридической ответственности за эти действия.
Перед установкой и использованием этого инструмента, пожалуйста, внимательно прочитайте и полностью понимайте все условия.
Ограничения, отказы от ответственности или другие условия, затрагивающие ваши права, могут быть выделены жирным шрифтом или подчеркнуты.Если вы не прочитали и не полностью поняли все условия, не устанавливайте и не используйте этот инструмент. Ваши действия или ваше принятие этих условий, явное или неявное, считаются вашим согласием с этими условиями.
YAK — это первый международный язык программирования, ориентированный на интеграцию базовых возможностей сетевой безопасности. Он предоставляет мощные возможности для обеспечения безопасности. Yak является суперсетью большинства "языков описания данных / контейнерных языков", обладает всеми возможностями и экосистемой библиотек Go, имеет плагины для VSCode, гибкую синтаксическую структуру и является тьюринг-полным скриптовым языком, полностью китайским. Функции предоставляют различные базовые возможности безопасности, включая сканирование портов, распознавание отпечатков, фреймворк POC, управление shell, MITM-перехват, мощную систему плагинов и т. д.
Yakit — это инструмент сетевой безопасности, разработанный на языке Yak. Он предназначен для создания инструмента, охватывающего весь процесс проникновения и тестирования безопасности.Из-за формы использования языка Yak, пользователи должны изучить язык Yak и иметь определенное понимание безопасности. Чтобы сделать базовые возможности безопасности Yak более доступными и удобными для использования, мы разработали gRPC-сервер для Yak и использовали этот сервер для создания клиентского приложения: Yakit. Через графический интерфейс пользователя (GUI) мы снижаем порог использования Yak.### 2.1 Молодой китайский конкурент BurpSuite
BurpSuite практически стал необходимым инструментом для всех специалистов по веб-безопасности по всему миру, однако в последние годы не появилось ни одного достойного альтернативного решения. Риск заражения при использовании пиратских версий высок, коммерческая версия слишком дорога, плагины трудно писать, а зависимость от Java и другие проблемы постепенно обнажились. Наша команда на основе yak реализовала основные функции BurpSuite, чтобы предложить специалистам по безопасности новый выбор. Полная замена не является нашим конечным целью, мы стремимся к замене и превосходству, снижению порога входа и повышению производительности специалистов по безопасности.
В настоящее время мы реализовали основные функции BurpSuite, включая перехват и изменение запросов/ответов, модуль истории, модуль повторения, модуль Intruder, а также инновационную функцию GUI-тегов для fuzz-тестирования в нашем модуле fuzz, что обеспечивает лучшую расширяемость.
История HTTP:
WEB Fuzzer:
Пассивная система обнаружения уязвимостей:
Чтобы быстро улучшить способность Poc к обнаружению уязвимостей, мы встроили nuclei (лицензия MIT) в язык yak. В модуле плагинов вы можете на основе yak/yaml создавать различные возможности для обнаружения уязвимостей и быстро добавлять их в меню слева. Присоединяйтесь к нам и помогите улучшить плагины yakit
Как платформа для одного специалиста, естественно, не может обойтись без быстро расширяемой плагинной системы. Теоретически, для создания плагина с интерфейсом разработчик должен быть знаком с фронтендом и бэкендом, что увеличивает порог входа для разработчиков. В отличие от других платформ, мы используем yak для написания ядра плагинов и yakit-библиотеку для взаимодействия с интерфейсом. Кроме того, чтобы соответствовать описанию "самая мощная", вы можете ознакомиться с описанием в следующей статье:Основные идеи по разработке плагинов
Руководство по написанию плагинов
В связи с разделением ядра Yak и Yakit, последний существует только в качестве клиента. Использование Yakit должно поддерживать две модели.1. Локальная модель: по умолчанию запускается сервер yak grpc на случайном порту.
Отдалённая модель:
yak grpc
Может быть запущена на любой платформе / в любом сетевом расположении, включая
Отдалённый хост ECS/VPS
Личный компьютер пользователя
Внутреннюю сеть
Кроме того, мы добавили инновационный режим bridge, который позволяет легко отображать внутреннюю сеть через режим отклика на внешнюю сеть. В этом режиме нам больше не требуется устанавливать инструменты для перенаправления портов, такие как frp, а вместо этого мы можем выполнять горизонтальное перемещение в сети в графическом интерфейсе, что значительно повышает эффективность тестирования.
В современной среде для обнаружения уязвимостей десериализации Java при генерации полезной нагрузки (payload) мы обычно используем ysoserial. Однако такое решение требует установки Java-окружения и даже конкретной версии Java. В то время как Yakit использует нативную реализацию языка yak для поддержки протоколов десериализации Java, что позволяет нам легко тестировать цели, используя скрипты на языке yak.
Детали использования этой функции можно найти в статье “Новогодний подарок: использование Yakit для преодоления языкового барьера в протоколах Java-десериализации”## 3. Наши цели
Yakit как молодой китайский конкурент Burpsuite, наш первоначальный цель — стать продуктом с такой же технической глубиной, как Burpsuite, чтобы пользователи пиратских версий Burpsuite имели возможность выбрать и использовать более качественный и безопасный инструмент. Однако наша цель не ограничивается этим. Наша мечта — стать Matlab в области безопасности, обладая мощными и разнообразными алгоритмами, и стать основой в этой области.
Yak и Yakit никогда не стремились стать изолированными инструментами, как большинство существующих инструментов безопасности. Наоборот, мы стремимся объединить усилия, чтобы предоставить пользователям мощный и полный по функциональности инструмент безопасности. От открытого исходного кода до написания учебных материалов по разработке безопасности с практическими примерами, а также возможность пользователей редактировать Yakit по своему усмотрению, все это направлено на передачу одной идеи: мы не просто хотим предоставить пользователям удобные инструменты, но и стремимся значительно повысить их навыки безопасности, чтобы достичь совместного прогресса между человеком и продуктом.Большинство продуктов в отрасли акцентируют внимание на простоте использования и визуализации результатов, что и является главным отличием Yakit и Yak. Мы подчеркиваем участие пользователя в процессе использования, и в процессе постоянного обучения, пользователи могут постепенно повышать свои навыки, переходя от новичка к профессионалу, что приводит к повышению навыков специалистов по безопасности в Китае и формированию собственной безопасности. Это и есть наша конечная цель.## 4. Установка и использование через официальный сайт## 5. Свяжитесь с нами
Если у вас есть конструктивные предложения или отчеты о багах, мы будем рады, если вы откроете issue.
Или свяжитесь с нами через официальный WeChat-аккаунт. Вы также можете связаться с нами для получения коммерческой лицензии и сотрудничества.
Для участия в обсуждении или для связи с техническими специалистами, пожалуйста, свяжитесь с нами и добавьте наш операционный WeChat:
QR-код WeChat-аккаунта:
Вы можете оставить комментарий после Вход в систему
Неприемлемый контент может быть отображен здесь и не будет показан на странице. Вы можете проверить и изменить его с помощью соответствующей функции редактирования.
Если вы подтверждаете, что содержание не содержит непристойной лексики/перенаправления на рекламу/насилия/вульгарной порнографии/нарушений/пиратства/ложного/незначительного или незаконного контента, связанного с национальными законами и предписаниями, вы можете нажать «Отправить» для подачи апелляции, и мы обработаем ее как можно скорее.
Комментарии ( 0 )