写在前面和大家分享一个还不错的工具Yakit,是一款单兵作战工具,burpsuite的挑战者。因为它已经具备了burpsuite中常用的功能,如history模块、repeater模块、intruder模块;并且拥有了其他作为安全工程师常用的功能,如poc验证、端口扫描、编码/解码等功能(所说的,都是我自己用到的,还有些功能没探索)。Yakiy早在Xcon大会上就和广大用户见面了,只是笔者比较菜,
推荐
原创
2022-01-28 11:19:13
10000+阅读
Yakit 是一个高度集成化的 Yak 语言安全能力的安全测试平台,使用 Yakit,可以做到:1. 类 Burpsuite 的 MITM 劫持操作台2. 查看所有劫持到的请求的历史记录以及分析请求的参数3. 全球第
原创
2023-09-27 10:18:10
995阅读
网络安全单兵工具 -- YAKIT一、下载及安装1、原作者及下载地址https://github.co也吧...
原创
2022-12-26 18:10:05
556阅读
前言网络安全工具Yakit与Burp Suite都是网络安全领域中常用的工具,但它们的设计目的和功能有所不同。Yakit 是一个综合性的网络安全工具,旨在提供一个集成的平台,用于bug测试、bug扫描、安全评估等。它通常用于快速构建和执行安全测试任务。Burp Suite 是一个专门用于 Web 应用安全测试的工具集。它主要用于发现和利用 Web 应用中的bug,如 数据库注入、XSS 等。主要步
原创
2024-10-31 15:38:18
2529阅读
至此通过 Yakit 的导出与调试 Yaml PoC 功能,我们很简便的完成了一个批量使用的 PoC 编写,期间除了最开始的构造数据包部分需要人工手动测试,其余阶段 Yakit 都自动化完成了。
原创
2024-03-04 15:36:00
114阅读
本文汇总了15款网络安全工具资源,涵盖红队渗透测试全流程。包括EHole指纹识别、CmsVulScan扫描器、Yakit端口扫描、Fofa_Viewe。
fastjson反序列化(四)
0x01 JNDI利用JdbcRowSetImplJdbcRowSetImpl中存在的JNDI注入这里考虑setAutoCommit是个set方法参数是布尔类型的使用Yakit生成一个反连构造EXP首先类名是com.sun.rowset.JdbcRowSetImpl 也就是@type 的值接着是.lookup的参数DataSourceName 也就是rmi或ldap
背景知识:随着 Yakit Web Fuzzer 的广泛使用,我们遇到了很多非常复杂且需要针对前端加密的处理场景,为此,虽然在独一无二的热加载机制理论中可以解决这类问题,但是在某些更贴近实战的场景还是会有水土不服。为此我们在 Web Fuzzer 中恢复了{{params(...)}}标签的使用,这个标签可以在一个 Web Fuzzer 中做各种便捷操作。当然{{params(...)}}作为一个
最近有很多朋友问我APP和小程序应该怎么抓包,为什么抓不了https请求包,网上说法很多这里就一篇文章统一解决下大家的问题。首先我们需要一个抓包神器yakit,实战中这个软件非常强大,数据劫持支持http2.0和国密TLS。有了这么强大的工具我们就可以开始解决APP小程序抓包问题了。 1.PC端小程序抓包最近接了很多小程序的渗透,那就先来讲讲PC端小程序如何抓包。PC端抓包我们需要双层代
转载
2024-08-26 13:17:04
356阅读
