Background
集群作战
即使安全领域是一个 “个人英雄主义” 至上的领域,但是在实际工作中,面对庞大的资产和打点范围,安全测试小分队仍然是主流,这些小分队的集群作战是大家日常工作的常态。
渗透测试小队在日常工作中的形态往往并没有大家想的那么千变万化,现状是大部分三五人小队深度协同完成一个项目,十人内小队一半人浅度参与项目。不论如何,这个团队协作的规模并没有大家想象的那么 “夸张”,我们发现,实现三五人小队的高效协同作战其实是 “集群作战” 的核心诉求。
0.0
并不是资产协同
当然看到这儿,很多读者就会抢答 “这个我会,找个服务器同步传输资产和任务结果就行了!”。当然不可否认这是人人都很自然的能想到的解决方案,但其实有也有明显缺点:
1.0
深层的协作行为
1.1 核心行为:数据包分享
实际上整个协作过程中,[分享]是主旋律
“师傅有空的话,帮我看个数据包?我微信发给你”
“我这个洞打了半天绕不过去啊,有空帮忙看看?Payload 在 ....”
“我这儿环境不对,打不了这个洞,能帮忙打一下嘛?弹到这个服务器(...) 上”
“这个资产里面有个登录包有点问题,可以测测逻辑”
...
如果大家都用 Yakit Web Fuzzer 的话,会注意到近期的版本,我们新增了一个 “分享 / 导入” 的功能,可以很容易地让用户分享当前正在工作的 Web Fuzzer,生成口令,小队中的同学可以根据生成的口令快速导入数据包:
用户可以在 Web Fuzzer 使用过程中,把感兴趣的或者有问题的数据包生成口令,通过 IM 发送给用户,用户只需要使用口令导入即可。
1.3 使用实战案例
我们发现,我们只需要几步即可实现一台 Yakit 的 Web Fuzzer 到另一台的丝滑分享。
2.0
技术架构
3.0
安全考虑
在分享的时候,由于工作性质问题,我们需要考虑机密数据不外泄的问题,为了解决这类问题,我们在实现这些功能时候,使用 “最短五分钟,最长一天” 的时限,并且可允许用户启用 "密码" 分享,供用户来选择。
3.2 数据不想出网?
中秋福利
中秋节快到了
为了感谢大家对【Yak Project】的订阅支持
我们决定搞个抽奖众乐乐!
原本呢,是想给大家送上中秋节最应景的礼物
月饼礼盒
但就是那…么…不巧…
由于疫情
封控居家的我们没法儿给大家寄月饼了
所以想来想去,还是送最实在的购物卡吧
希望大家都能买到并吃到甜甜的月饼!
参与方式
点击公众号名片,关注Yak Project公众号
在公众号回复“抽奖”即可获取参与抽奖的链接
点进去,划至下方“参与抽奖”即可
开奖时间
9月9日(周五)10:30
奖品说明
抽10位粉丝每人送一张100元电子购物卡
END
本次抽奖活动仅面向公众号粉丝
快来点个关注参与吧
祝大家中秋快乐,月满人团圆!
未来,与Yaklang一起继续并肩前行!