生态贡献指南
yaklang.io 的生态并不是完全封闭的,我们非常鼓励个人或者技术团队把自己的知识 / 经验沉淀下来形成可规模化,随时可执行的插件或者模块;同时我们也非常欢迎商业团队或商务团队赞助与支持项目发展。
我们在做什么
当然,作为普通用户来说,Yakit 本身提供了一些简单有效的功能:
- 类 Burp 的劫持手动发包的操作流
- 基础安全工具的 GUI。
与此同时,整体平台的细节功能也在随时扩充。最贴近大家实际工作和生活中的是 Yakit 插件,插件目前至少包含
- 原生插件:最适合针对特定目标进行安全检查等
- MITM 插件:可视化的被动扫描插件
- PACKET 插件:针对 HTTP History 和数据包的检查/扫描插件
- CODEC 插件:特定字符串变换插件
- ...
众所周知,不同类型的插件,他的入口和用途都不一样,效果也不一样。Yakit 提供了插件的编写,导入导出测试,使用的一站化平台。
对于大多数需求来说,Yakit 提供的插件模式足以完成绝大部分网络安全测试为目的常规工作。同时,插件数量和种类的增加,可以完成的细节操作也会越来越多,直到达到终极目标,"常见所有网络安全的操作和能力模块都可以在 Yakit 中找到解决方案"。
参与项目的好处
对技术主导的个人 / 团队
沉淀
帮助用户技术沉淀,用户可以很容易根据各种插件案例,编写特定情况使用的插件,把自己的安全经验沉淀成特定插件,并且不需要用户编写复杂的 GUI 布局或者操作交互方案。
分享
个人技术 / 团队技术沉淀出的内容,可以作为用户的成果宣传与展示,用户当然也可以选择性的把脚本公开到自己的 Git 仓库中,供互联网用户来使用和学习。
Yakit 公开的版本不支持带密码的私有代码仓库
教育与培训为主导的团队
- 全系功能和产品免费,无需承担破解风险
- 从工具使用到进阶插件编写均提供解决方案
- 安装和使用均有图形化操作,方便教学演示
商业安全产品团队
适配基于 Yak/Yakit 插件的安全产品将自动打通自己产品与 yaklang.io 和 nuclei 等生态的通道,省掉构建基础平台与一些常见安全模块的成本。
Yakit 核心功能基于 Yak 引擎的 gRPC 接口,二次开发与接口用例学习均可参考 Yakit 源码。
- 构建私有仓库的插件源
- 大规模 / 分布式的 Yak 引擎调度系统(RabbitMQ AMQP 协议支持)
- 引擎商用授权,引擎特定功能定制或特定领域需求集成
商业授权,与二次开发技术支持联系 yaklang.io 团队
甲方企业安全建设无需商业授权。
"我" 应该如何参与这个项目?
对于技术团队或个人来说,不同技术技能与技术阶段可以做的事情不一样,但是都需要用户有一定的 网络安全知识。
常见安全工具用户
如果你熟悉 Burpsuite,了解 xray 这类工具
尝试使用 Yakit MITM 平台的劫持功能与 "被动扫描" 功能,了解这些功能的原理,编写自己的 "MITM 插件"
有自己的想法
如果想编写一个 PoC
在参考官网一些编程案例之后,可以编写出完成特定功能,实现漏洞检测,或者辅助检测的插件,分享这些插件,或者保存这些插件,方便之后学习或者改进,使用。
当然,如果你觉得 yaklang 缺乏了某些功能,导致无法实现插件的一些功能,可以联系 yaklang.io 团队,或在 yakit issue 中提出你的问题。