AI 无限上下文(一):如何让 AI 吞下超长视频沉淀知识库【AI 学习必备】
大型模型的 AI 知识能力现今基本可以被认为“溢出”了,他的编码能力,知识都很强,但是上下文限制或者无法和用户偏好对其导致效果无法如人意,因此留给我们这种普通研发者的重要工作就是教会 AI 做事儿。给
阅读全文Vulinbox SQL 注入攻防实录:靶场通关与技巧拆解
接口路径:/user/limit/4/order1关键 Code:select * from vulin_users where (username LIKE '%a%') ORDER BY user
阅读全文超级牛的 Java 反编译大法(四):Switch 语句
前文指路:YAK,公众号:Yak Project超级牛的 Java 反编译大法(三):循环结构在 Java 中,switch 提供了比多重 if-else 更加直观与高效的分支表达。对于 JVM 而言
阅读全文0 基础也能挖出高危漏洞!IRify 代码审计全过程
本次实战目标⬇️https://github.com/leveryd/go-sec-code【一次完整的审计流程】当一次扫描完成时,我们可以在任务列表查看所有扫描结果:审计漏洞页面功能如下:项目/文件
阅读全文白屏退散!Yakit 暗黑模式公测,低调高能直接封神
凌晨三点,办公室只剩屏幕还亮着......你刚用 Yakit 拦截到一条可疑流量,正准备深入分析——啪!白色界面一记闪光弹,瞳孔当场裂开。这样的痛苦,我们都懂。于是,研发团队真的把 YAKer 们的愿
阅读全文Yakit MITM 劫持,国密通信“破壁人”!
当前 Yakit MITM 的国密支持包含两个主要功能。国密代理功能:MITM 作为代理服务器,能够代理客户端访问国密网站。国密服务器功能:MITM 充当国密服务器,新增特性:接受客户端的国密 TLS
阅读全文Yakit 随机分块传输:解锁 WAF 绕过新技能!
Yakit 支持在 WebFuzzer 图形化界面和 Yaklang 代码中启用随机分块传输功能:用户可以在 WebFuzzer 的“请求包配置”界面中直接开启“随机分块传输”开关。功能配置:启用后,
阅读全文超级牛的 Java 反编译大法(三):循环结构
前文指路:YAK,公众号:Yak Project超级牛的Java反编译大法(二):If 语句解析在高级编程语言 Java 中,我们拥有多种循环语法,如 for、foreach、while 以及 do-
阅读全文用 IRify 深入探索 WebShell 中的 Source/Sink 挖掘
?()表达式:在之前的规则中,常常会像下面这样写。__GET as $sourceaa(* #{include: <<<CODE* & $sourceCODE}-> as $sink)比较诟病的是,这
阅读全文解锁静态分析误报难题:IRify 分级管理策略大揭秘
从理论计算机科学的角度看,SAST 工具产生误报的根本原因在于程序的不可判定性。对于任何图灵完备的编程语言,停机问题(Halting Problem)表明无法设计一个通用算法来判断任意程序是否会终止运
阅读全文全新 AI 应用体 - AIForge 上线!轻松驾驭复杂智能任务
我们可以直接通过一个内置的简单 aiforge 快速上手片段文本总结:textSnippent = cli.String("textSnippet", cli.setRequired(true), c
阅读全文提升 JavaScript SSA 构建效率:前端解析方案的替代探索
在先前的公众号文章《解锁SSA IR代码审计新姿势?牛牛来了!》中,我们向大家介绍了 YAK 中 SSA 的基础架构。目前,我们使用 Antlr4 作为各类语言的通用前端,通过 Antlr4 先将不同
阅读全文SyntaxFlow 代码审计实战解析,拆解整个攻击链路!
在进行代码审计时,我们首先需要确定危险的 "source" (输入源)和 "sink" (危险执行点)。使用 SyntaxFlow,我们可以快速编写规则来定位这些点:request() as $sou
阅读全文功能上新 | 流量分析,一键启动!
为什么需要流量分析功能呢?在以往,我们一般通过 History 页面来处理已经存进数据库的流量,通过关键词、网站树等方法筛选出我们想要的流量。一般情况下这是足够用的,但是如果需要符合筛选就比较难了。比
阅读全文SyntaxFlow:挖掘 CVE 漏洞必备神器!你还不赶紧了解?
基础知识:https://ssa.to/syntaxflow-guide/intro对于框架来说,常常是不能编译底层全部源码的,一方面,底层源码采用多种设计模式来降低代码的耦合度,另一方面,对于底层的
阅读全文重磅新闻 | AI+YAK 赋能国企数智化转型安全发展!
会议现场(图)由中国联通、电子科技大学、万径安全联合研发的 YAK 作为网络安全领域开发环境,为我国网络安全产业提供了强大的技术支持和创新动力。它凭借自身优势,打破了国外垄断,填补了国内空白,推动了我
阅读全文超级牛的Java反编译大法(二):If 语句解析
前文指路:Yak,公众号:Yak Project超级牛的Java反编译大法!在 JVM 中,if 语句对应的字节码指令有:OP_IFEQ, OP_IFNE, OP_IFLE, OP_IFLT, OP_
阅读全文IRify使用实战-SQL注入
之前的文章为大家介绍过如何使用IRify功能进行代码审计今天则是使用一个案例来为大家说明如何使用IRify实战SQL注入在软件安全领域,污点分析(Taint Analysis) 是一种通过跟踪不可信数
阅读全文Syntaxflow规则编写之Golang实战
前文指路⬇️Yak,公众号:Yak ProjectSyntaxFlow Java实战(一):值的搜索与筛选为了更好的理解 Syntaxflow 规则的语法,可以先看如下这个例子:package mai
阅读全文独立SyntaxFlow功能?IRify,启动!
(饿梦惊醒)(翻身)(摸到电脑)(尝试打开电脑学习)(代码审计…代码扫描…)(…ZZZ...ZZZ...)打开IRify,是熟悉的项目管理页面,同Yakit一样,这里可以管理所有的项目。让我们新建一个
阅读全文那我问你,MCP是什么?回答我!
Looking my eyes!Yaklang-MCP是不是MVP?回答我,你回答我!我们知道,AI虽然非常强大,但常常会被迫“束手束脚”。例如,医生问诊需同时调取病历、化验结果和医学文献,复杂任务需
阅读全文SyntaxFlow实战CVE漏洞?那很好了
之前的文章为大家介绍过如何使用YAK的SyntaxFlow功能进行代码审计今天则是使用一个案例来为大家说明如何使用SyntaxFlow实战复现一个CVE漏洞这个XSS漏洞发生在一个文档上传功能里。上传
阅读全文SyntaxFlow Java实战(一):值的搜索与筛选
SyntaxFlow作为Yaklang的重要功能,可以适配多种应用场景,广受用户青睐同时也有不少用户大人经常问牛牛:“SyntaxFlow具体是如何在实际应用场景中使用的?”“复杂的代码段该如何准确地
阅读全文Yak 在 AI 浪潮中应该如何存活?
MCP 是 Claude 发起的一个协议,在2024年10月左右发布,在2025年2月开始逐步有大批量的 AI 应用体开始支持这个协议。这个协议目的是让 AI 同时可以感知有什么工具可以用,如果要调用
阅读全文Oi,不要小看Proxy浏览器插件与Yak之间的羁绊啊!
超级牛:不知道啊这插件他喊着友情啊羁绊啊未来啊什么的就冲上来了对于 Yakit 用户来说,免配置浏览器带来了很多的便捷,一键启动即可打开一个配置好了 Yakit MITM 代理的浏览器,并且与日常使用
阅读全文