21年10月,Yakit v1.0.8正式版发布,到今天的v1.1.9发版,这期间的迭代次数虽然细数不清,但回头看看Yakit这一路的进阶表现却也算亮眼。
从“能用”变得“好用”,前端UI从简约变得精致,从“备受质疑的项目”变成师傅们口中“最良心的安全工具”…
我们想说,或许是时候和大家一同回顾一下Yakit的升级和蜕变。
而有关YAK和Yakit的故事,指路,搭配本篇食用体验更佳喔~
01
1.0.8VS1.1.9:启动引擎
1.0.8版需要每次手动启动并连接引擎,操作比较繁杂。
改版新UI后,优化了整体页面和启动连接逻辑,无需每次进入页面手动连接引擎,安装后第一次打开选择连接方式后,每次打开都会按退出时的连接模式进行自动连接。
02
1.0.8VS1.1.9:更新升级
1.0.8版本并未提供更新升级操作,需要在github下载新版本
1.1.9-sp2新版UI启动时自动检测更新并显示更新日志,页面里左上角有更新内容时,也是通过系统提示有更新,并显示更新内容。
用户可通过更新日志自行判断是否需要更新Yakit与引擎。
03
1.0.8VS1.1.9:MITM交互式劫持
首先新版对比旧版的直观变化就是页面的整体布局调整,增加了内容规则匹配、过滤器、插件联动、免配置启动等好用的小工具,辅助劫持工作更加流畅进行,提升工作效率。
内容规则:通过正则标记/替换数据包内容,并添加染色标记和tag,方便寻找可用于测试或者感兴趣的数据包
过滤器:通过配置过滤条件,来控制只抓/不抓哪些数据包
插件联动:在劫持过程中,也可启用插件进行被动扫描,包括漏洞检测、指纹发现等
免配置启动:通过给 Chrome 启动增加一些 “不安全参数” 即可实现不配置证书进行抓包
其次是劫持页面的界面优化
04
1.0.8VS1.1.9:Web Fuzzer
在迭代过程中陆续增加了高级配置,可配置intruder(即插入Web Fuzzer标签进行爆破)、随机延迟(设置发包的随机延迟时间区间)、过滤器模式(批量发包时,为了筛选数据包得到想要数据,可配置条件选择丢弃部分数据包,或只展示满足条件的数据包)、超时时间等。
便于用户更好的调试数据包,关于Fuzzer语法的教程可关注官网yaklang.com
05
1.0.8VS1.1.9:插件商店
插件商店的前身是“模块管理器”,需要用户自行去创建插件,后来,为了能让用户下载使用官方插件及其他作者分享的插件,我们将插件商店放在了Github,但新的问题是使用过程中经常出现下载插件失败,分享插件麻烦等问题。
经过多次的修复优化,就有了现在集编写插件、下载插件、分享插件、修改插件于一体的功能丰富的插件商店。
06
1.0.8VS1.1.9:反连管理
1.0.8版本的反连只有端口监听
到最新版1.1.9-sp2反连的功能已经相当丰富了,包括端口监听、反连服务器、DNSLog、ICMP-Sizelog、TCP-PortLog、Yso-Java Hack,满足各种丰富的反连使用场景,实现团队All-in-One的目标。
反连服务器:返连服务可用于手工渗透测试,既可用于漏洞检测,也可用于漏洞利用
DNSLog、ICMP-Sizelog、TCP-PortLog:查看DNS反连、ICMP 反连、TCP 反连与反连详情
Yso-Java Hack:根据配置生成不同类型Payload,并可结合反连服务器使用
关于反连功能的相关技术解析与使用教程,具体可参考公众号往期的推文内容
07
1.0.8VS1.1.9:全新的首页
新增首页可快速了解平台所有功能, 精准定位自己需要的模块,也可以清晰看到插件商店插件的情况,判断是否需要更新自己的本地插件。
08
1.0.8VS1.1.9:项目管理
项目管理是近期上线的新功能,很多师傅们在群里提了很久,近期终于给大家安排上了
项目管理主要是为了分项目来管理流量、漏洞、资产等数据,防止数据全部混杂在一起 ,且便于导出进行交付和协作。
我们坚持以终为始,从没忘记初心和目标:
做安全能力的融合,让Yakit成为安全能力的基座
结合YAK的动态/嵌入式语言优势,让Yakit成为有技术深度的产品
成为安全领域的“Matlab”并且免费
正如Yaklang.io团队始终坚持做难而正确的事,正如我们当初做这个项目时所谈及的理想…
Yakit会继续坚持朝着它的目标方向前进,始终认真聆听并接受各位用户师傅和技术爱好者的需求与建议,未来Yakit内置能力模块会逐步增多,旧的能力也会修复BUG并增加新的接口,新的功能…
迭代不止,更新仍在继续…
别走!
最后再附一个小预告,YAK要举办用户线下见面会啦!参与上面的征集活动有机会获得见面会邀请券嗷!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...