yakit：漏洞批量扫描神器

Cai~niao

已于 2024-01-23 10:22:04 修改

阅读量1.7k

点赞数 8

文章标签：安全测试工具

于 2024-01-16 15:42:26 首次发布

本文链接：https://blog.csdn.net/weixin_41308444/article/details/135626542

版权

一、前言

以前想要批量扫描漏洞，基本都需要编写poc。虽然poc一般也不会很难写，但是也很耽误时间，并且编写poc也需要一定的技术门槛，对新手小白并不友好，这时使用yakit就会显得特别方便。

二、yakit使用

yakit在我看来是一个类似Burpsuite的工具，在某些方面甚至做的比Burpsuite还要更好。

1、Web Fuzzer这个模块很简单，类似于Burpsuite的Repeater功能。

在这里插入图片描述

2、在我们将POC放在Web Fuzzer中后，就可以右键插入临时字典，将想要批量的网站地址写入其中，它就会进行一个批量化的测试。
在这里插入图片描述

3、响应包处也会返回响应时间、状态、响应大小等一系列信息，帮助你判断是否存在漏洞，也可以进行查找或者正则匹配，非常好用。（注意：建议yakit使用管理员权限打开使用，我感觉不使用管理员权限会出现一些莫名其妙的问题）
在这里插入图片描述
4、同理，可以替换url进行目录扫描之类的工作也是可以的。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Cai~niao

关注关注

8
点赞
踩
12

收藏

觉得还不错? 一键收藏
1
评论
yakit：漏洞批量扫描神器

yakit:漏洞批量验证工具
复制链接

扫一扫

【项目与经历篇】面试·安全研发岗位专题

大河之犬的博客

06-05

657

扫描模块发送一个SYN标志的数据包给目标主机，如果目标主机回应了一个SYN/ACK数据包，就表明该端口是开放的。扫描模块向目标主机发起一个TCP连接请求，如果目标主机回应一个SYN/ACK数据包，表明该端口是开放的，扫描模块会回应一个ACK数据包，以建立连接。如果没有任何响应，表明该端口可能是开放的。例如，通过解析TCP数据包的TCP标志位、TCP选项和窗口大小等信息，可以确定目标系统上的TCP/IP协议的版本信息。：爆破技术是指利用程序自动化的方式，对域名进行大量的猜测和尝试，以获取其下的子域名列表。

长亭xray:Web漏洞扫描神器（免费社区版）

墨痕诉清风的博客

07-23

4422

xray 支持用户使用 YAML 编写 POC。YAML 格式的 “值” 无需使用双引号包裹，特殊字符无需转义YAML 格式使内容更加可读YAML 中可以使用注释rules:xray PoC 生成器 (XRay POC 编写辅助工具)，虽然丑陋，但不失文雅。将 POC 保存到 YAML 文件后使用--poc。

1 条评论您还未登录，请先登录后发表或查看评论

轻量级网站漏洞批量扫描神器

05-07

批量扫描漏洞，扫描url，非常实力。用过的人都说好。设计简明。

盘点那些漏洞 POC 测试工具

wuli1024的博客

11-11

2250

以上工具覆盖仅仅个人总结，还有其他专注 POC 检测的工具，比如知道创宇的 pocsuite3，只随软件携带来十几个案例 POC，目前我使用最多的就是 xray、xpoc、nuclei 这些工具，最近开始用 afrog，大家有好用的工具欢迎留言讨论，一起学习探讨。文库目录：https://wiki.xazlsec.com/static/forder.html。

【工具介绍】Yakit——专项漏洞检测

最新发布

LongL_GuYu的博客

07-18

378

Yakit提供了专项漏洞检测，可针对特定应用程序或系统进行的安全漏洞扫描技术。旨在检测与该应用程序或系统相关的安全漏洞。

PoC免写攻略

黑战士的博客

03-01

1555

至此通过 Yakit 的导出与调试 Yaml PoC 功能，我们很简便的完成了一个批量使用的 PoC 编写，期间除了最开始的构造数据包部分需要人工手动测试，其余阶段 Yakit 都自动化完成了。

Yakit工具篇：专项漏洞检测的配置和使用

黄乔国PHP

10-22

1781

专项漏洞检测是针对特定应用程序或系统进行的安全漏洞扫描技术，旨在检测与该应用程序或系统相关的安全漏洞。Yakit通过对常见的中间件、CMS、框架、组件进行总结、归纳，并针对这些组件对其常见的高危漏洞进行了整理。通过预制漏洞源码，对可以对某类特定目标进行专项的漏洞检测，可以自定义新增poc种类。

安全能力基座Yakit，端口扫描又快又准！

YakProject的博客

11-03

425

在设计中，为了快速进行匹配，我采取的指纹的数据结构为(*map*[string("特征")]string("名称")), 分别对header与body建立指纹库，在端口扫描识别到为web资产后进行指纹的匹配。我们在端口扫描的过程中，经常会遇到某些防火墙在单个ip上开放成百上千个端口，对扫描系统造成不小的压力，因此，在端口扫描工具设计之初就需要解决端口资产膨胀的问题。经过多次测试后，我选取了35+端口组成了top20，当top20开放数量大于配置阈值后，默认是存在防火墙端口膨胀情况。1. 头尾冷门端口阈值。

Yakit工具篇：综合目录扫描与爆破的使用

黄乔国PHP

10-17

1426

目录扫描是一种常用的Web应用程序安全测试技术，用于发现Web应用程序中存在的可能存在的漏洞和弱点。其原理是通过对Web应用程序中的目录和文件进行遍历，来发现可能存在的安全漏洞和风险。具体来说，目录扫描工具会通过程序自动化的方式，生成大量的HTTP请求，并请求Web应用程序中的所有可能存在的目录和文件。当Web应用程序返回200状态码时，表示该目录或文件存在；当Web应用程序返回404状态码时，表示该目录或文件不存在。

xray-1.9.3漏洞扫描神器

11-24

《Xray-1.9.3：漏洞扫描神器详解及应用》 Xray-1.9.3是一款备受瞩目的网络安全工具，被誉为“漏洞扫描神器”。它的最新版本以其高效、易用和经济实惠的特点，受到了广大安全从业者和爱好者的热烈追捧。在网络安全...

椰树1.7web漏洞扫描神器

08-28

椰树1.7 Web漏洞扫描神器是一款针对Web应用程序的安全检测工具，主要目的是帮助网络安全专家、开发者和普通用户发现并修复网站潜在的安全问题。在信息化高度发达的今天，Web应用的安全性已经成为不可忽视的重要环节...

御剑端口扫描神器.zip

03-08

《御剑端口扫描神器》是一款专为网络管理员和安全研究人员设计的强大端口扫描工具，其主要功能是快速、高效地检测目标网络或单个主机上的开放端口。端口扫描是网络安全领域的重要技术，主要用于识别网络服务、评估...

【漏洞复现】Yakit任意文件读取漏洞

m0_54981229的博客

08-19

443

Yakit是基于yak语言开发的网络安全单兵工具，旨在打造一个覆盖渗透测试全流程的网络安全工具库，是近年新兴的一个BurpSuite平替工具，和burp的区别就在于数据包放过去不用配置ip端口协议这些，近期yakit爆出了一个任意文件读取漏洞，此漏洞通过在网页嵌入js代码实现读取yakit使用者设备上的文件。Yakit默认不会对经过MITM代理的流量中的fuzztag进行解析，但是经过插件时会被解析。开启yakit的MITM代理并选择任意插件(ps:测试时好像有的插件行有的不行）报这个错的话第一行加上。

还在买别人的漏扫GUI？使用Yakit，免做老韭菜

棉花糖的博客

06-12

2481

你是否希望能有一个工具可以只需要输入或者导入目标即可检测某一个oa或者某一个系统的漏洞？上网一查，好像大家都在售卖这种GUI？👇工具乍一看，哇好牛逼，输入或者导入目标就可以检测例如海康威视综合安防管理平台这种系统的历史漏洞，细一看，我操要钱！而现在，你不需要再去交智商税了！首先我们要清楚一件事，这些工具里面的漏洞，是什么未公开的0day吗？

【工具分享】yakit——单兵渗透工具

LongL_GuYu的博客

07-09

889

Yakit 是一个基于 Yak 语言的安全领域垂直语言工具，它提供了一个图形化用户界面（GUI）来操控 Yak 引擎的能力。Yakit 旨在降低使用安全工具的门槛，使得安全从业者即使没有编程技能也能轻松地进行安全测试和分析。

Yakit工具篇：端口探测和指纹扫描的配置和使用

黄乔国PHP

10-18

1457

端口扫描和指纹识别是渗透测试和网络安全领域中常用的基础技术之一，用于评估目标系统的安全性和发现可能存在的漏洞和攻击面。也是Yakit基础工具的模块之一。

网络安全单兵工具 -- Yakit的简介和安装

m0_60045654的博客

11-27

3617

基于安全融合的理念，Yaklang.io 团队研发出了安全领域垂直语言Yaklang，对于一些无法原生集成在Yak平台中的产品/工具，利用Yaklang可以重新编写他们的“高质量替代”。对于一些生态完整且认可度较高的产品，Yaklang能直接编译融合，并对源码进行必要修改，更好地适配Yaklang语言。但是限于使用形式，用户想要熟练使用Yak 语言，需要学习Yak语言并同时具备对安全的一定理解。

Day101：漏洞发现-漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动

qq_61553520的博客

04-14

1274

小迪安全-Day101：漏洞发现-漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动

3dmax批量渲染神器

12-31

3dmax批量渲染神器是3dmax软件中的一项非常实用的功能。它允许用户一次性渲染多个场景或动画，而不需要逐个进行渲染，大大提高了工作效率。使用3dmax批量渲染神器，用户可以轻松地设置渲染任务，并对每个渲染任务进行个性化的调整。这有效地解放了用户的双手，让他们可以专注于其他工作，而不用担心繁琐的渲染任务。另外，3dmax批量渲染神器还可以帮助用户节约时间和资源。用户可以根据自己的需要进行批量渲染的设置，比如渲染的质量、帧率、分辨率等，从而有效地调控渲染的时间和成本。总的来说，3dmax批量渲染神器是3dmax软件中的一个非常实用的功能，它能够帮助用户高效地完成渲染任务，节约时间和资源，提高工作效率。因此，对于广大的3dmax用户来说，掌握并善于使用这一功能是非常必要的。