Yakit 国产安全测试工具下载安装一、Yakit 工具简介二、安装包及学习视频下载三、Yakit 详细安装教程Windows 示例四、首次使用基础配置解决抓包报错1. 自动安装HTTPS证书2. 基础代理配置五、Yakit 九大核心功能零基础使用教程1. 端口探测 指纹扫描信息收集核心2. 爆破与未授权检测3. 基础Web爬虫4. Hunter 空间引擎资产收集5. 子域名收集6. 综合目录扫描与爆破7. 专项漏洞检测8. MITM 中间人劫持抓包操作步骤9. Web Fuzzer 核心模块高频使用六、配套代码审计工具 IRify6.1 代码扫描6.2 代码审计一、Yakit 工具简介Yakit 是国内自研免费开源单兵安全测试平台基于 Yak 领域安全语言开发是完美替代 Burp Suite 的国产渗透测试工具。集成流量劫持、漏洞扫描、端口探测、爬虫爆破、代码审计、专项漏洞检测等全功能支持国密证书、WebSocket 测试免费无阉割适配学生练习、企业安全自测、渗透测试实战。核心优势全中文界面、零配置上手、功能高度集成、免费社区版够用、适配国产系统、自带海量POC漏洞库。二、安装包及学习视频下载链接https://pan.xunlei.com/s/VOvsktZL38Av8Mcpxtp4mEFpA1?pwdsdn7# 复制这段内容后打开「手机迅雷 App」即可获取。无需下载在线查看视频原画享倍速播放Yakit安装包下载及学习视频https://pan.xunlei.com/s/VOvsktZL38Av8Mcpxtp4mEFpA1?pwdsdn7#学习手册三、Yakit 详细安装教程Windows 示例1. 安装前置要求安装路径纯英文、无中文、无空格、无特殊符号建议右键以管理员身份运行安装包避免权限不足报错关闭杀毒软件防止误拦截工具组件2. 安装步骤解压网盘下载的安装包双击Yakit.exe安装程序同意用户许可协议点击下一步自定义安装路径不建议安装C盘推荐路径D:\Tools\Yakit默认勾选组件全程点击下一步等待1-2分钟完成安装3. 首次启动初始化桌面双击打开 Yakit首次启动选择本地临时项目新手无需登录直接使用点击初始化引擎等待引擎、插件自动加载完成初始化成功进入主界面安装全部完成四、首次使用基础配置解决抓包报错1. 自动安装HTTPS证书Yakit 支持一键安装国密证书自动解密HTTPS流量无需手动配置主界面点击启动劫持弹窗提示证书未安装点击下载并安装证书全程默认下一步信任证书即可2. 基础代理配置默认本地代理端口127.0.0.1:8080支持浏览器、手机抓包无需手动修改默认适配绝大多数场景。五、Yakit 九大核心功能零基础使用教程1. 端口探测 指纹扫描信息收集核心1 功能作用探测目标主机开放端口识别服务版本、系统指纹挖掘潜在攻击面是渗透测试第一步。2 操作步骤左侧选择【端口扫描】模块输入目标IP/域名示例123.58.224.8开启主动指纹识别点击开始扫描3结果说明端口探测识别80、443、22等开放端口指纹扫描识别服务版本、操作系统辅助漏洞判断2. 爆破与未授权检测1 功能作用检测目标弱口令风险、未授权访问漏洞排查越权、匿名访问等安全问题。2 操作步骤进入【弱口令/未授权检测】模块输入目标地址端口示例123.58.224.8:18123选用内置字典一键启动爆破检测3场景说明扫描结果无漏洞代表当前路径无可利用高危漏洞仅存在普通开放端口。3. 基础Web爬虫1 功能作用自动抓取网站所有URL、接口、隐藏目录快速收集全站资源用于信息收集。2 实操配置目标地址www.baidu.com一键启动爬虫自动枚举页面、接口、静态资源、隐藏入口。4. Hunter 空间引擎资产收集1 功能作用联动奇安信Hunter资产引擎批量收集目标子域名、IP、端口、服务漏洞信息快速梳理企业全网资产。2 使用前提登录Hunter官方账号即可解锁全部资产探测能力。5. 子域名收集1 功能作用挖掘目标主域名下所有子域名发现隐藏后台、测试环境、未防护资产扩大测试范围。2 适用场景企业资产梳理、全站漏洞扫描、隐藏入口挖掘。6. 综合目录扫描与爆破1 功能作用爆破网站隐藏目录、后台地址、备份文件、敏感配置文件排查信息泄露风险。2 结果说明扫描出大量目录路径但漏洞数量为0代表目录可访问但无可利用、高危、可攻击漏洞属于正常站点配置。7. 专项漏洞检测1 功能作用针对SQL注入、XSS、远程代码执行、Shiro、Log4j2等高危漏洞专项扫描精准挖掘已知漏洞。2实操配置目标地址123.58.224.8:49817一键启动专项检测精准定位各类高危安全漏洞。3执行结果8. MITM 中间人劫持抓包1 功能作用类似Burp Suite代理抓包拦截、查看、篡改HTTP/HTTPS数据包用于接口调试、漏洞测试。操作步骤开启【劫持代理】默认监听8080端口浏览器/手机设置对应代理开启劫持抓取全部流量支持数据包转发、漏洞扫描、发送至Web Fuzzer9. Web Fuzzer 核心模块高频使用Yakit 核心功能替代 Burp 的 Repeater Intruder支持参数篡改、重放、爆破、变量嵌套。1常用语法变量提取.data.[token]变量调用{{p(token)}}文件上传{{file(文件路径)}}加密爆破{{md5(xxx)}}2核心用途接口重放、参数暴力破解、越权测试、数据包篡改、批量发包测试六、配套代码审计工具 IRifyYakit 配套自研代码审计工具专注代码漏洞扫描根据需要使用支持项目源码上传编译自动匹配漏洞规则批量扫描代码缺陷无需人工逐行阅读自动生成漏洞报告下载地址https://yaklang.com/irify6.1 代码扫描静态地对程序源码或编译后的中间码进行自动化模式匹配与流分析快速、批量地找出可能存在的安全缺陷或质量违规并生成可量化的漏洞清单——整个过程无需人工介入。扫描结果6.2 代码审计由具备安全背景的人员借助工具与文档对软件关键模块进行深度、逐行的阅读与追踪人工确认漏洞真实性、评估危害、构造利用场景并给出可落地的修复方案——核心是“人”对代码的系统性审读与判断。