本文汇总了2020年第二季度全球发布的最新Web安全工具。
由于新冠疫情肆虐,2020年的DEF CON黑客大会已经转移到线上,但是网络安全爱好者有望在8月初线上会议期间看到大量新的黑客工具。
在此之前,长达数月的社交隔离和居家办公后,宅在家中的各路网络安全高手已经憋出不少大招,迫不及待发布了大量高级黑客工具。
以下是2020年第二季度值得关注的五款最新Web安全工具:
ParamSpider:URL参数暴露审核工具
首先值得关注的是ParamSpider,这是一种全新的工具,可帮助网站和应用程序发现暴露的URL参数。
ParamSpider是由印度安全研究人员Devansh Batham开发的开放源代码工具,可自动执行URL地址中参数的收集过程,这是对网站和应用程序进行漏洞探测的关键一步。
然后,安全研究人员可以将从该工具中提取的数据输入到模糊器中,以发现潜在的漏洞,从而简化传统上劳动密集型的流程。
InQL:可帮助开发人员查找GraphQL漏洞
DoYensec的安全研究人员最新发布的开源工具InQL大大简化了GraphQL应用程序的漏洞查找。GraphQL是最初在Facebook上开发的一种用于对服务器运行查询的语言。
使用声明性语言的开发人员可能会遇到一个普遍的错误,那就是用户模型包含机密字段,例如未编辑的密码重置令牌。这些未编辑的标记可能会泄漏查询结果。
InQL可作为独立应用程序或Burp Suite的扩展程序使用。
Brim:可轻松浏览大量流量日志的网络取证工具
Brim Security开发的开源桌面应用程序Brim可以轻松处理大型数据包捕获(pcap)文件。
分析pcap文件对于网络故障排除和安全事件响应都非常有用。问题在于这些原始数据文件很很容易变得庞大而笨拙。
新开发的Brim实用程序使安全专业人员可以通过Zeek网络流量分析框架遍历大型数据包捕获和日志,以发现有用情报。
Brim Security的创始人Steve McCanne指出:Zeek日志很好地总结了pcap,但是没有一种简单的方法可以在桌面上搜索它们,或轻松地链接回pcap。
他补充说:
Brim在易于使用的桌面应用程序(开放源代码)中加入了这些功能,大大降低了使用门槛。
多态有效载荷图像处理测试套件
多态图像文件是指包含其他嵌入式代码的文件,一个最简单的例子就是包含拍摄参数EXIF或位置信息的手机或数码相机照片,当然,攻击者也可以在多态图像文件中加入能够绕过安全审查的恶意代码。
Doyensec近日发布了一种新的开放源代码工具——标准化图像处理测试套件。使研究人员能够测试多态图像中的跨站点脚本(XSS)有效载荷,已经有安全研究人员因此获得了上万美元的收益。
来自Doyensec的研究人员通过使用该实用程序来入侵Google Scholar,从而获得了赏金。
Doyensec的Lorenzo Stella指出:
测试套件是探查转换多态图像的最流行的图像处理库之间差异的第一步。许多安全的图像上传库已经执行了各种检查,例如验证图像文件格式,试探性地检查不需要的字节或清除EXIF元数据。我们的工具可以简化发现图像上传安全检查绕过漏洞的繁重工作,研究人员在安全测试工作或漏洞悬赏时会用到这个工具。
用机器学习破解CAPTCHA验证码
CAPTCHA验证码是互联网站和应用的看门人,用以区分真人和机器人的登录尝试。
由安全公司F-Secure开发的CAPTCHA破解服务器——CAPTCHA22,应用了机器学习技术,使破解CAPTCHA验证码变得更加简单,在挑战人工验证的过程中将“暴力”从“暴力破解”中抹掉。
F-Secure声称,其基于AI的CAPTCHA破解服务器能够破解微软Outlook的基于文本的CAPTCHA验证码,准确性达到90%,该工具的命名灵感来自于二战时期Joseph Heller的著名小说《二十二条军规》。
参考资料
CAPTCHA22的介绍文档:
https://labs.f-secure.com/blog/releasing-the-captcha-cracken/
Doyensec标准化图像处理测试套件:
https://github.com/doyensec/StandardizedImageProcessingTest/blob/master/README.md