45 篇博文 含有标签「2025 年」

就差个暗黑模式是吧[奸笑]

这个算 yakit 暗黑模式么

暗黑色前年就说了

暗黑系列

8.新增暗黑模式

暗黑主题啥时候上线

......

Yakit 用户对「暗黑模式」的召唤 !!!

在实际的安全测试中，效率和精度是制胜的关键。而测试人员时常面临重复性高、逻辑判断复杂的场景，这些场景消耗了宝贵的时间和精力。例如，手动修正因方法错误而失败的请求，或从上千个返回 200 OK 的响应中，人工甄别出业务逻辑上实际失败的结果。

IRify 是一款专有的静态代码分析工具，其核心架构依赖于一个两阶段模型：首先将源代码编译为一种持久化的中间表示（Intermediate Representation, IR），随后对该 IR 进行深入分析。

本文档旨在详细阐述针对 IRify 编译流水线进行的两项关键性能优化，这两项优化上解决了系统在数据库持久化模式下的性能瓶颈。

本次优化的核心挑战在于，IRify 的初始设计在处理指令引用和数据库交互时存在严重的性能短板，这极大地限制了编译阶段的吞吐量。为了应对这一挑战，我们采用了一种循序渐进的优化策略。

第一阶段优化（PR #2888）着眼于一个基础性的数据表示缺陷。通过将指令间的直接指针引用迁移为一套基于持久化 ID 的引用体系，我们不仅统一了内存与数据库中的数据模型，还为高效的缓存机制奠定了基础。

第二阶段优化（PR #2917）在新的数据模型之上，通过引入名为Fetch和Save的异步、带缓冲的数据处理机制，进一步消除了 I/O 延迟瓶颈。这些结构将编译器的核心计算逻辑与缓慢的数据库读写操作完全解耦，实现了真正的并行处理。

最终，这两项架构层面的改进共同作用，在数据库持久化模式下，为编译流程带来了约 20% 的显著性能提升。

随着国家网络安全战略的深入实施，国密算法（SM2、SM3、SM4 等）在我国关键信息基础设施和重要领域得到了广泛应用，旨在构建自主可控、安全可靠的密码体系。国密 TLS（GMTLS）作为其在传输层安全协议的体现，正逐步取代传统的 RSA/ECC TLS 协议。然而，这种安全性的提升也给传统的网络分析工具，尤其是中间人攻击（MITM）工具带来了新的挑战。

传统的 MITM 工具在面对 GMTLS 加密流量时往往束手无策，这限制了安全研究人员、渗透测试工程师以及开发人员对国密通信进行分析、调试和拦截的能力。Yakit 作为一款强大的网络安全工具集，其 MITM 模块针对国密通信的支持，旨在打破这一技术壁垒，使我们能够像分析传统 TLS 流量一样，深入洞察国密加密的通信细节。

在绕过 WAF（Web 应用防火墙）的各种技术中，随机分块传输编码（Random Chunked Transfer Encoding）是一个值得关注的方法。

其核心在于将请求数据拆分成多个大小随机的“块”，以此干扰那些需要完整数据包才能进行有效检测的安全设备。

现在，Yakit 的 WebFuzzer 模块也已正式支持这项技术。这意味着你可以更方便地在测试环境中尝试和验证随机分块传输的效果，无需切换工具或复杂配置。

本文我们就来看看它的具体实现与应用。

在代码安全审计中，数据流分析和过滤是追踪漏洞路径的关键，但如何精确筛选想要审计的值、精确控制数据流分析常常困扰开发者。今天我们将深入解析 SyntaxFlow 的三大高阶能力，揭秘如何通过精细化配置提升分析效率与准确性。

本文将涵盖以下核心内容：

• SyntaxFlow 数据流分析各配置项的含义与应用。

• 一种更优雅的语法，用于根据方法参数筛选调用。

• 如何利用文件过滤语法，直接审计文件内容。

阅读本文文章需要的前置知识：

今天我们将通过一个实际案例，展示如何通过 IRify 辅助定位并最终验证某 admin 中的一个组合漏洞。

某 Admin 是一款基于 webman + Layui 开发的高性能 HTTP 服务框架，提供了简单易用的权限后台管理系统。它具有以下特点：

**前文指路：**YAK，公众号：Yak ProjectJava 反编译技术（二）：If 语句解析

做 ssa 的开发和维护至今，从 ssa 的底层到 syntaxflow 的语法构建，ssa 的能力也逐渐提升，在上一阶段中，我也提供了一些 ssa 的漏洞挖掘案例。在最近的一段时间内，对 ssa 优化和增加新语法的同时，我也对 webshell 做了一些分析和审计。

接下来，我将会从两个方面进行展开讲解。

随着企业数字化转型的加速，软件开发已成为企业核心竞争力的重要组成部分。敏捷开发与DevOps 的广泛应用显著提升了软件交付速度，但也为代码安全带来了前所未有的挑战。近年来，供应链安全事件频发，加之国家对合规性要求的不断提高，企业在开发早期发现并解决安全问题的需求变得更加迫切。

静态应用安全测试（Static Application Security Testing, 下称 SAST）作为一种关键的安全技术，能够在代码编写阶段识别潜在漏洞，实现安全能力的“左移”，因而受到越来越多的关注。

然而，尽管市场上已有多种 SAST 产品并被广泛部署，大多数工具仍面临诸多问题，其中误报率高是影响用户体验的最突出问题之一。过高的误报率不仅增加了安全人员和开发人员的负担，还可能导致对真正威胁的忽视，降低安全策略的有效性。