今年前三季度涌现了一批优秀的漏洞发现工具(开源)。这些工具可以简化工作流程,自动解决人为错误,并发现其他难以发现的漏洞缺陷。以下是2021年前三个季度可供渗透测试人员、安全团队和DevOps人员使用的漏洞发现工具(开源)汇总:VSCode与MitreATT&CK框架集成,简化代码编辑。通过它,研究人员可以在不离开VisualStudioCode(VSCode)环境的情况下与MitreATT&CK框架进行交互。该工具由托管检测和响应提供商RedCanary开发并开源,是Microsoft流行的代码编辑器的扩展,与MitreATT&CK框架集成,并提供集成ATT&CK技术搜索命令等功能。该工具还可以帮助安全团队专注于VSCode,而无需离开应用程序并通过浏览器访问有关ATT&CK的信息。JenkinsAttackFramework帮助红队强化CI/CD环境中的“软目标”JenkinsAttackFramework(JAF)帮助渗透测试人员和红队发现滥用流行的自动化服务器的方式。该工具由Accenture发布,可自动化并简化许多常见和一些不太常见的Jenkins攻击技术。Jenkins是一个开源CI/CD管道,通常存储强大的凭证和专有代码,但没有默认的安全配置,通常使其成为“软目标”,前埃森哲JAF开发人员ShelbySpencer说。Deadshot:将代码上传到GitHub时显示的常见DevOps错误通信技术公司Twilio的安全专家推出了一个免费工具,当开发人员上传到存储库的代码无意中包含敏感信息时,Deadshot会实时监控GitHub拉取请求并标记可能存在的敏感数据在代码中。这是一个贯穿所有数据传输并在上传任何数据之前提醒所有项目参与者的警戒工具——这是一个非常有价值的功能,因为大多数秘密都是从“毫无戒心”的开发人员那里泄露的,他们在不知不觉中滥用了GitHub。30美元DIY恶意USB数据线根据网络安全公司r-tec的信息安全顾问DanielScheidt的说法,黑客,无论是有道德的还是不道德的,都可以以大约30美元的USB数据线的价格向他们自己的键盘注入攻击。Scheidt说,当UNIFY接收器被植入USB数据线以注入击键时,它可以像普通USB数据线一样为手机充电。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
