2020年第二季度网络安全工具由于新冠疫情来势汹汹,2020DEFCON黑客大会已移至线上,但网络安全爱好者们有望在线上期间看到大量新型黑客工具八月初的会议。此前,经过数月的社交隔离和居家办公,国内各路网络安全专家已经有不少大动作,迫不及待地发布了大量先进的黑客工具。以下是2020年第二季度值得关注的五款最新Web安全工具:ParamSpider:URL参数暴露审计工具首先值得关注的是ParamSpider,这是一款帮助网站和应用程序发现暴露的URL参数的全新工具。ParamSpider是印度安全研究人员DevanshBatham开发的一款开源工具,可以自动化收集URL地址中参数的过程,这是网站和应用程序漏洞检测的关键步骤。然后,安全研究人员可以将从该工具中提取的数据输入模糊器以发现潜在的漏洞,从而简化传统上劳动密集型的过程。InQL:帮助开发人员查找GraphQL漏洞DoYensec的安全研究人员最近发布了InQL,这是一种开源工具,可大大简化在GraphQL应用程序中查找漏洞的过程。GraphQL是一种最初由Facebook开发的语言,用于对服务器运行查询。使用声明性语言的开发人员可能遇到的一个常见错误是用户模型包含机密字段,例如未编辑的密码重置令牌。这些未经编辑的标签可能会泄露查询结果。InQL可作为独立应用程序或作为BurpSuite的扩展。Brim:可轻松浏览大量流量日志的网络取证工具BrimSecurity是一款开源桌面应用程序,可以轻松处理大型数据包捕获(pcap)文件。分析pcap文件对于网络故障排除和安全事件响应都很有用。问题是这些原始数据文件很容易变得又大又笨重。新开发的Brim实用程序使安全专业人员能够遍历大型数据包捕获和日志,以通过Zeek网络流量分析框架发现有用的情报。BrimSecurity的创始人SteveMcCanne指出:Zeek日志很好地总结了pcaps,但没有一种简单的方法可以在桌面上搜索它们,或者轻松地链接回pcaps。他补充说:“Brim将这些功能打包到一个易于使用的桌面应用程序(开源)中,这大大降低了进入门槛。《PolymorphicPayloadImageProcessingTestSuite》多态图像文件是指包含其他嵌入代码的文件。最简单的例子之一就是包含拍摄参数EXIF或位置信息的手机或数码相机照片。当然,攻击者可以还使用可以绕过安全审查的恶意代码添加到多态图像文件。Doyensec最近发布了一个新的开源工具——标准化图像处理测试套件。使研究人员能够测试多态图像中的跨站点脚本(XSS)有效负载、安全性研究人员已经赚了数万美元。来自Doyensec的研究人员因使用此实用程序来破解Google学术搜索而赢得了赏金。”流行图像处理库之间差异的第一步,”Doyensec的LorenzoStella指出。“许多安全图像上传库已经执行了各种检查,例如验证图像文件格式、启发式检查不需要的字节或清除EXIF元数据。我们的该工具简化了发现图像上传安全检查绕过的繁重工作,并被研究人员用于他们的安全测试工作或漏洞赏金。“使用机器学习破解验证码验证码是互联网站点和应用程序的守门人,用于区分登录尝试与真人和机器人.CAPTCHA22是安全公司F-Secure开发的验证码破解服务器,利用机器学习技术,更容易破解验证码验证码,在挑战人类验证的过程中从“暴力破解”中抹去“暴力破解”。F-Secure声称其基于AI的CAPTCHA破解服务器可以破解MicrosoftOutlook基于文本的CAPTCHA验证码,准确率达90%,其灵感来自二战时期约瑟夫·海勒的著名小说《二十二条军规》。【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】点此阅读更多本作者好文
