色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

一款想替代并超越burpsuite的網絡安全單兵工具

jf_yLA7iRus ? 來源:釋然IT雜談 ? 2023-07-05 10:04 ? 次閱讀

項目地址:https://github.com/yaklang/yakit 官網安裝及使用教程:https://www.yaklang.io/docs/startup

1. YAK語言簡介

一群擁有豐富網絡安全從業經驗的工程師,對現有的通用編程語言感到不滿——他們想要的是一個開源的語言,它要具備Golang的高并發執行能力;要像Python一樣語法簡單;要是個腳本語言,這樣可以快速分發給同伴;要可以一次編寫直接執行,而不要安裝第三方庫;要原生具備網絡安全專用能力,如端口探測、SYN無狀態掃描、Nmap的服務指紋,并以函數形式擴展提供;還有,它應該是圖靈完備的,易于學習的…… 所以,Yak 語言誕生了! YAK是國際上首個為網絡安全而生的“領域特定語言(Domain Specific Language)”,提供了非常強大的安全能力。Yak是絕大部分 “數據描述語言/容器語言” 的超集,宿主語言采用Golang,具備Go語言所有能力與庫生態,具備自己的VSCode插件等。Yak語法可自定義,是一門圖靈完備的腳本語言,完全國產。通過函數提供各類底層安全能力,包括端口掃描、指紋識別、poc框架、shell管理、MITM劫持、強大的插件系統等。

2. YAKIT單兵工具簡介

Yakit是基于Yak語言開發的網絡安全單兵工具,旨在打造一個覆蓋滲透測試全流程的網絡安全工具庫。 受限于Yak使用形式,用戶必須學習 Yak 語言并同時具備對安全的一定理解。為了讓 Yak 本身的安全能力更容易被大家接受和使用,我們為Yak編寫了gRPC服務器,并使用這個服務器構建了一個客戶端:Yakit,通過界面化GUI的形式,降低大家使用Yak的門檻。

2.1 Burpsuite 的年輕中國挑戰者

Burpsuite幾乎成為全球WEB安全從業者必裝的安全測試工具,然而十余年來尚無一個可替代的解決方案。破解版被投毒風險高、商業版太貴、插件難寫、依賴java等等問題逐漸顯露。我們團隊基于yak順手實現了BurpSuite的核心功能,期望給所有的從業者一個新的選擇。完全替代并不是我們終極目標,替代并超越,切實降低門檻,提升從業者工作效率,才是我們的追求。 當前,我們已經實現了BurpSuite常用的功能,包括攔截并修改請求/返回報文、history模塊、repeater模塊、intruder模塊,并且在我們的fuzz模塊中創新性的實現了GUI標簽fuzz,具備更好的可擴展性。

HTTP History:

f2dd9796-1ac9-11ee-962d-dac502259ad0.png

WEB Fuzzer:

f34ca708-1ac9-11ee-962d-dac502259ad0.png

被動漏洞檢測系統:

f37e88ae-1ac9-11ee-962d-dac502259ad0.png

2.2 Poc/Exp超集

在實戰安全測試過程中,我們經常面臨一個需求,即已知對方使用了weblogic/struts2等,需要一鍵檢測是否存在指定漏洞,然而這么簡單的需求我們當下卻要打開各種專用工具不停切換,甚至為了安裝某個工具而不得不切換Windows/Linux,或者安裝一堆復雜的依賴。在yakit上,我們將致力于提供一站式的解決方案,您只需要輸入目標,點擊開始檢測按鈕,即可快速得到結果。

f3ab2724-1ac9-11ee-962d-dac502259ad0.png

為了快速提升poc的檢測能力,我們在yak語言中原生集成了nuclei(MIT協議),當然,在插件模塊中,你可以基于yak/yaml編寫各種你想要的檢測能力,并將插件快速展示到左側菜單欄中??靵砀覀円黄鹜晟芛akit插件吧

2.3 ”地表最強“的插件系統

作為一個單兵工具平臺,自然離不開可快速擴展的插件系統。理論上一個帶界面的插件,編寫者需要對前端、后臺都比較熟悉,這增大了開發者的進入門檻。與其他平臺不同的是,我們在設計時,插件核心代碼全部用yak實現,并且可以通過yakit庫實現與界面的交互,除此之外,為了配得上”地表最強“,您還可以參考以下文章的描述: 插件設計思路 插件編寫指南

f3d812a2-1ac9-11ee-962d-dac502259ad0.png

2.4 Teamserver設計

由于 Yak 核心引擎與 Yakit 的分離式安裝,Yakit 僅僅作為一個客戶端而存在,Yakit 的使用理所當然就應該存在兩種模式。

本地模式:默認啟動一個隨機端口的yak grpc服務器

遠程模式:

yak grpc

可以啟動在任何平臺 / 任何網絡位置,包括

遠端托管主機 ECS/VPS

本地個人 PC

內網環境

除此以外,我們還創新性的加入了brige模式,可方便的將內網通過反彈模式映射到公網,在這種模式下,我們不在需要安裝frp之類的端口轉發工具,而是在一個GUI界面下,執行內網橫向移動操作,極大的提升了測試效率。

f40f62d4-1ac9-11ee-962d-dac502259ad0.png

2.5 原生的JAVA反序列化能力支持

在當下環境,我們要檢測java反序列化漏洞,在生成payload階段,我們通常需要借助ysoserial,然而這種解決方案不僅需要安裝java環境,還甚至需要安裝指定版本的java才行。而yakit則使用yak原生實現了java反序列化協議的支持,如此一來,我們即可方便的通過編寫yak腳本快速對目標進行測試。

f439a102-1ac9-11ee-962d-dac502259ad0.png

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 服務器
    +關注

    關注

    12

    文章

    9123

    瀏覽量

    85329
  • 網絡安全
    +關注

    關注

    10

    文章

    3155

    瀏覽量

    59701
  • 工具
    +關注

    關注

    4

    文章

    311

    瀏覽量

    27770

原文標題:一款想替代并超越burpsuite的網絡安全單兵工具

文章出處:【微信號:釋然IT雜談,微信公眾號:釋然IT雜談】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    專家呼吁:網絡安全建設亟需開放與合作

    召開的主題為“對話?合作?聯動――共筑網絡安全”的2010中國計算機網絡安全年會上,來自國家互聯網應急中心的云曉春在分析國內嚴峻的網絡安全課題時表示。因此,計算機網絡安全專家
    發表于 09-29 00:04

    網絡安全隱患的分析

    的過程和方法。新的安全問題的出現需要新的安全技術和手段來解決,因此,安全個動態的、不斷完善的過程?! ∑髽I網絡安全可以從以下幾個方面來分
    發表于 10-25 10:21

    如何利用FPGA開發高性能網絡安全處理平臺?

    通過FPGA來構建個低成本、高性能、開放架構的數據平面引擎可以為網絡安全設備提供性能提高的動力。隨著互聯網技術的飛速發展,性能成為制約網絡處理的大瓶頸問題。FPGA作為
    發表于 08-12 08:13

    2020 年網絡安全的四大變化

    安全技術領域前所未有的變化。這些變化已經開始發生,但會在 2020 年及以后更加明顯。網絡安全已成為門業務關鍵、極具動態性、高度可擴展和專業化學科,但我們仍然會使用輔助工具、手工流程
    發表于 02-07 14:33

    如何擴展工業控制系統的網絡安全終端

    理解工業控制系統的網絡安全工業4.0正在改變工業控制系統的網絡安全擴展工業控制系統的網絡安全終端
    發表于 01-27 07:09

    實現網絡安全工業4.0的三個步驟

    工業4.0愿望和網絡安全含義實現網絡安全工業4.0的三個步驟通過硬件安全性實現互聯工廠
    發表于 02-19 06:50

    什么是藍牙mesh網絡安全

    藍牙mesh網絡安全性的基本概念
    發表于 02-25 08:22

    網絡安全類學習資源相關資料推薦

    目錄分類媒體社區類安全公司類應急響應類安全團隊類高校社團類CTF類個人類web安全網絡運維類安全研發類二進制
    發表于 07-01 13:44

    Microchip:車用32位單片機+功能安全網絡安全保護

    領先的嵌入式控制解決方案提供商Microchip最近推出了業界首基于Arm Cortex-M0+內核的32位單片機PIC32CM JH,具備功能安全網絡安全保護支持AUTOSAR
    發表于 11-10 13:52

    網絡安全領域,NIST框架是什么?

    網絡安全領域,NIST 框架是什么?
    發表于 04-17 07:56

    最先進昂貴的網絡安全工具就是最可靠的嗎

    如果企業購買了最先進、最昂貴的網絡安全工具和服務,就能在安全賽道上甩掉同行?這種想法我們不妨稱之為企業網絡安全的“法拉利陷阱”。
    發表于 04-21 10:32 ?896次閱讀

    9個網絡安全專家最常用的軟件工具

    Nmap 用于端口掃描,網絡安全專家攻擊的階段之,是有史以來最好的網絡安全專家工具。它主要是個命令行
    發表于 10-18 09:42 ?1371次閱讀

    網絡安全應急響應單兵工具

    在應對安全事件上機排查時,對于沒有此方面經驗但是有研判能力的安全專家來講,經??嘤谛枰獏⒖几鞣N安全手冊進行痕跡采集、整理、研判,此時我們可以使用FireKylin-Agent進行鍵痕
    的頭像 發表于 11-04 10:20 ?962次閱讀

    20經濟高效的開源網絡安全工具推薦

    Zeek的前身為Bro,是一款性能良好的開源網絡安全監控工具,可以實時分析網絡流量,幫助用戶監測網絡活動、
    的頭像 發表于 04-21 11:48 ?2454次閱讀

    網絡安全測試工具有哪些類型

    可以分為以下幾大類型: 漏洞掃描器 漏洞掃描器是類常見的網絡安全測試工具,用于檢測系統、網絡和應用程序中存在的各種漏洞和安全風險。這些
    的頭像 發表于 12-25 15:00 ?1282次閱讀
    主站蜘蛛池模板: 俄罗斯少女人体| 亚洲精品国产自在在线观看| 国产99久久久国产精品免费看| 少妇仑乱A毛片| 国产精品色无码AV在线观看| 亚洲精品视频久久| 玖玖爱在线播放| brazzers欧美孕交| 十九岁在线观看免费完整版电影| 国产亚洲精品在线视频| 伊人22222| 女张腿男人桶羞羞漫画| 芳草地在线观看免费观看| 性VIDEOSTV另类极品| 精品久久久久久久久免费影院| 中文中幕无码亚洲在线| 殴美黄色网| 国产久久亚洲美女久久| 伊人久久艹| 欧美人成在线观看ccc36| 国产成人精品电影| 亚洲午夜精品一区二区公牛电影院| 鲁一鲁亚洲无线码| 成人免费视频网站www| 亚洲AV无码国产精品色在线看| 精品无码国产自产在线观看水浒传 | 无码AV精品久久一区二区免费 | 少妇两个奶头喷出奶水了怎么办 | 无码日韩人妻精品久久蜜桃入口| 狠狠躁日日躁人人爽| 97免费观看视频| 国产97视频在线观看| 亚洲欧洲日韩天堂无吗| 免费精品美女久久久久久久久| 成人在线免费看片| 亚洲免费综合色视频| 牛牛免费视频| 国产精品一国产AV麻豆| 2018三级网站免费观看| 日韩在线中文字幕无码| 久爱精品亚洲电影午夜|