本文汇总了2020年第二季度全球发布的最新Web安全工具。
由于新冠疫情肆虐,2020年的DEF CON黑客大会已经转移到线上,但是网络安全爱好者有望在8月初线上会议期间看到大量新的黑客工具。
在此之前,长达数月的社交隔离和居家办公后,宅在家中的各路网络安全高手已经憋出不少大招,迫不及待发布了大量高级黑客工具。
以下是2020年第二季度值得关注的五款最新Web安全工具:
首先值得关注的是ParamSpider,这是一种全新的工具,可帮助网站和应用程序发现暴露的URL参数。
ParamSpider是由印度安全研究人员Devansh Batham开发的开放源代码工具,可自动执行URL地址中参数的收集过程,这是对网站和应用程序进行漏洞探测的关键一步。
然后,安全研究人员可以将从该工具中提取的数据输入到模糊器中,以发现潜在的漏洞,从而简化传统上劳动密集型的流程。
DoYensec的安全研究人员最新发布的开源工具InQL大大简化了GraphQL应用程序的漏洞查找。GraphQL是最初在Facebook上开发的一种用于对服务器运行查询的语言。
使用声明性语言的开发人员可能会遇到一个普遍的错误,那就是用户模型包含机密字段,例如未编辑的密码重置令牌。这些未编辑的标记可能会泄漏查询结果。
InQL可作为独立应用程序或Burp Suite的扩展程序使用。
Brim Security开发的开源桌面应用程序Brim可以轻松处理大型数据包捕获(pcap)文件。
分析pcap文件对于网络故障排除和安全事件响应都非常有用。问题在于这些原始数据文件很很容易变得庞大而笨拙。
新开发的Brim实用程序使安全专业人员可以通过Zeek网络流量分析框架遍历大型数据包捕获和日志,以发现有用情报。
Brim Security的创始人Steve McCanne指出:Zeek日志很好地总结了pcap,但是没有一种简单的方法可以在桌面上搜索它们,或轻松地链接回pcap。
他补充说:
多态图像文件是指包含其他嵌入式代码的文件,一个最简单的例子就是包含拍摄参数EXIF或位置信息的手机或数码相机照片,当然,攻击者也可以在多态图像文件中加入能够绕过安全审查的恶意代码。
Doyensec近日发布了一种新的开放源代码工具——标准化图像处理测试套件。使研究人员能够测试多态图像中的跨站点脚本(XSS)有效载荷,已经有安全研究人员因此获得了上万美元的收益。
来自Doyensec的研究人员通过使用该实用程序来入侵google Scholar,从而获得了赏金。
Doyensec的Lorenzo Stella指出:
CAPTCHA验证码是互联网站和应用的看门人,用以区分真人和机器人的登录尝试。
由安全公司F-Secure开发的CAPTCHA破解服务器——CAPTCHA22,应用了机器学习技术,使破解CAPTCHA验证码变得更加简单,在挑战人工验证的过程中将“暴力”从“暴力破解”中抹掉。
F-Secure声称,其基于AI的CAPTCHA破解服务器能够破解微软Outlook的基于文本的CAPTCHA验证码,准确性达到90%,该工具的命名灵感来自于二战时期Joseph Heller的著名小说《二十二条军规》。
参考资料
CAPTCHA22的介绍文档:
https://labs.f-secure.com/blog/releasing-the-captcha-cracken/
Doyensec标准化图像处理测试套件:
https://github.com/doyensec/StandardizedImageProcessingTest/blob/master/README.md