akit 简介#
基于安全融合的理念,Yaklang.io 团队研发出了安全领域垂直语言Yaklang,对于一些无法原生集成在Yak平台中的产品/工具,利用Yaklang可以重新编写
他们的“高质量替代”。对于一些生态完整且认可度较高的产品,Yaklang能直接编译融合,并对源码进行必要修改,更好地适配Yaklang语言。
但是限于使用形式,用户想要熟练使用Yak 语言,需要学习Yak语言并同时具备对安全的一定理解。
Yak 语言核心提供了非常强大的安全能力,为了让 Yak 本身的安全能力更容易贴近大家的实际使用,降低使用的门槛,我们在为 Yak 编写了 gRPC 服务器,
并使用这个服务器实现 / 构建了一个客户端:Yakit。
Yakit 是 Yak 的衍生项目,对于一些不想写代码的安全从业者,Yakit会为Yak中所有的能力提供合适的GUI,通过Yakit的GUI去操控引擎的能力,
随着版本更迭,GUI会更加成熟。Yakit的gRPC服务器,让用户部署更加方便快捷,与平台无关,可选择远程部署或直接本地启动在主机中使用。
一、Yakit核心优势速览(对比传统工具)
功能 | Burp Suite | Yakit |
|---|---|---|
漏洞库本土化 | 欧美漏洞为主 | 内置CNVD/CNNVD漏洞库 |
流量分析 | 需多工具联动 | 一键抓包+自动解密HTTPS |
插件开发 | Java环境复杂 | Python+图形化5分钟写插件 |
协作能力 | 单机模式 | 实时共享扫描任务 |
✨ 独创的MITM热加载技术:不改代理配置直接注入检测模块
二、3分钟快速上手指南
安装捷径(绕过官网下载慢)
# Linux/Mac用户用国内镜像
docker pull registry.cn-hangzhou.aliyuncs.com/yaklang/yakit首次启动关键设置
打开「热加载配置」→ 勾选「自动解密金融APP流量」
在「插件商店」安装 微信小程序安全检测包
实战案例:自动检测Server酱漏洞
yakit.AutoScan(target="http://sc.ftqq.com",plugins=["xss", "sqli", "wechat_leak"], # 专攻微信生态漏洞proxy="127.0.0.1:8080")
执行后自动生成带时间轴的可视化报告,风险点直接关联修复方案
三、高阶玩家必学技巧
🔥 用「Yak Runner」写自动化渗透脚本
// 检测Spring框架漏洞handle = func(target) {rsp, req = poc.HTTP(`GET /actuator/env HTTP/1.1`, target)if "spring.cloud.config" in rsp {risk.Critical(req, "发现配置中心未授权访问!")}}
按Ctrl+E直接云端测试500+漏洞特征库
四、企业级应用场景
某券商安全团队实操案例:
⚠️ 痛点:每次护网需手动核查300+服务器
✅ 解决方案:
用「资产雷达」自动发现新增IP
设置「定时巡检策略」夜间自动扫描
通过「企业微信机器人」实时推送风险📊 成果:误报率下降70%,响应速度提升8倍
结语:安全工程师的新纪元
Yakit不仅是工具,更是工作模式的革新:
10:00 启动自动扫描任务
11:30 喝着咖啡查看风险拓扑图
14:00 用报告生成器一键输出整改方案
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...