本文匯總了2020年第二季度全球發布的最新Web安全工具。
由于新冠疫情肆虐,2020年的DEF CON黑客大會已經轉移到線上,但是網絡安全愛好者有望在8月初線上會議期間看到大量新的黑客工具。
在此之前,長達數月的社交隔離和居家辦公后,宅在家中的各路網絡安全高手已經憋出不少大招,迫不及待發布了大量高級黑客工具。
以下是2020年第二季度值得關注的五款最新Web安全工具:
首先值得關注的是ParamSpider,這是一種全新的工具,可幫助網站和應用程序發現暴露的URL參數。
ParamSpider是由印度安全研究人員Devansh Batham開發的開放源代碼工具,可自動執行URL地址中參數的收集過程,這是對網站和應用程序進行漏洞探測的關鍵一步。
然后,安全研究人員可以將從該工具中提取的數據輸入到模糊器中,以發現潛在的漏洞,從而簡化傳統上勞動密集型的流程。
DoYensec的安全研究人員最新發布的開源工具InQL大大簡化了GraphQL應用程序的漏洞查找。GraphQL是最初在Facebook上開發的一種用于對服務器運行查詢的語言。
使用聲明性語言的開發人員可能會遇到一個普遍的錯誤,那就是用戶模型包含機密字段,例如未編輯的密碼重置令牌。這些未編輯的標記可能會泄漏查詢結果。
InQL可作為獨立應用程序或Burp Suite的擴展程序使用。
Brim Security開發的開源桌面應用程序Brim可以輕松處理大型數據包捕獲(pcap)文件。
分析pcap文件對于網絡故障排除和安全事件響應都非常有用。問題在于這些原始數據文件很很容易變得龐大而笨拙。
新開發的Brim實用程序使安全專業人員可以通過Zeek網絡流量分析框架遍歷大型數據包捕獲和日志,以發現有用情報。
Brim Security的創始人Steve McCanne指出:Zeek日志很好地總結了pcap,但是沒有一種簡單的方法可以在桌面上搜索它們,或輕松地鏈接回pcap。
他補充說:
多態圖像文件是指包含其他嵌入式代碼的文件,一個最簡單的例子就是包含拍攝參數EXIF或位置信息的手機或數碼相機照片,當然,攻擊者也可以在多態圖像文件中加入能夠繞過安全審查的惡意代碼。
Doyensec近日發布了一種新的開放源代碼工具——標準化圖像處理測試套件。使研究人員能夠測試多態圖像中的跨站點腳本(XSS)有效載荷,已經有安全研究人員因此獲得了上萬美元的收益。
來自Doyensec的研究人員通過使用該實用程序來入侵google Scholar,從而獲得了賞金。
Doyensec的Lorenzo Stella指出:
CAPTCHA驗證碼是互聯網站和應用的看門人,用以區分真人和機器人的登錄嘗試。
由安全公司F-Secure開發的CAPTCHA破解服務器——CAPTCHA22,應用了機器學習技術,使破解CAPTCHA驗證碼變得更加簡單,在挑戰人工驗證的過程中將“暴力”從“暴力破解”中抹掉。
F-Secure聲稱,其基于AI的CAPTCHA破解服務器能夠破解微軟Outlook的基于文本的CAPTCHA驗證碼,準確性達到90%,該工具的命名靈感來自于二戰時期Joseph Heller的著名小說《二十二條軍規》。
參考資料
CAPTCHA22的介紹文檔:
https://labs.f-secure.com/blog/releasing-the-captcha-cracken/
Doyensec標準化圖像處理測試套件:
https://github.com/doyensec/StandardizedImageProcessingTest/blob/master/README.md
