之前分享过渗透测试文章《看我如何利用 Burp Suite + Fiddler Everywhere 进行PC端和小程序抓包渗透测试》,利用两个抓包软件协同联动进行小程序和CS结构程序的抓包改包。
今天,介绍一种针对CS架构程序、公众号、小程序的全新抓包改包方案。
千呼万唤始出来,犹抱琵琶半遮面。
经过几个月测试,全局流量代理功能终于来了。现在我们可以使用Yakit最新版本进行抓包。
Yakit是基于Yak语言开发的网络安全单兵工具,旨在打造一个覆盖渗透测试全流程的网络安全工具库。
https://github.com/yaklang/yakit/releases
Yaklang 1.0.16-sp18
-
优化 Web Fuzzer 热加载时遇到大量数据调试慢的问题
-
新增设置系统代理的功能(不支持 Linux)
-
修复端口扫描在指纹无法识别时 TCP 丢失的 BUG
Yakit 1.0.16-sp5
-
新增系统代理配置的功能
-
优化 Web Fuzzer 热加载系统的体验:
-
新增 getParams 代码的本地保存
-
自动保存模版内容(跟随引擎)
-
新增热加载执行过程动画
-
合并过滤与标记,代替功能
-
修复插件商店展示重复内容的 BUG
https://github.com/yaklang/yakit/releases/download/v1.0.16-sp5/Yakit-1.0.16-sp5-darwin-x64.dmg
https://github.com/yaklang/yakit/releases/download/v1.0.16-sp5/Yakit-1.0.16-sp5-linux-amd64.AppImage
https://github.com/yaklang/yakit/releases/download/v1.0.16-sp5/Yakit-1.0.16-sp5-windows-amd64.exe
由于操作系统与 Yak 内核限制,无法使用原生 MacOS OC/Swift 接口实现设置代理。
Yak 引擎将弹出 osascript 授权页以改动系统代理,MacOS 用户认证即可。
测试钉钉
测试腾讯会议
测试公众号
测试小程序
原文始发于微信公众号(利刃信安):针对CS架构程序、公众号、小程序的全新抓包改包方案
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论