本文匯總了2020年第二季度全球發(fā)布的最新Web安全工具。
由于新冠疫情肆虐,2020年的DEF CON黑客大會已經(jīng)轉(zhuǎn)移到線上,但是網(wǎng)絡(luò)安全愛好者有望在8月初線上會議期間看到大量新的黑客工具。
在此之前,長達(dá)數(shù)月的社交隔離和居家辦公后,宅在家中的各路網(wǎng)絡(luò)安全高手已經(jīng)憋出不少大招,迫不及待發(fā)布了大量高級黑客工具。
以下是2020年第二季度值得關(guān)注的五款最新Web安全工具:
首先值得關(guān)注的是ParamSpider,這是一種全新的工具,可幫助網(wǎng)站和應(yīng)用程序發(fā)現(xiàn)暴露的URL參數(shù)。
ParamSpider是由印度安全研究人員Devansh Batham開發(fā)的開放源代碼工具,可自動執(zhí)行URL地址中參數(shù)的收集過程,這是對網(wǎng)站和應(yīng)用程序進(jìn)行漏洞探測的關(guān)鍵一步。
然后,安全研究人員可以將從該工具中提取的數(shù)據(jù)輸入到模糊器中,以發(fā)現(xiàn)潛在的漏洞,從而簡化傳統(tǒng)上勞動密集型的流程。
DoYensec的安全研究人員最新發(fā)布的開源工具InQL大大簡化了GraphQL應(yīng)用程序的漏洞查找。GraphQL是最初在Facebook上開發(fā)的一種用于對服務(wù)器運(yùn)行查詢的語言。
使用聲明性語言的開發(fā)人員可能會遇到一個普遍的錯誤,那就是用戶模型包含機(jī)密字段,例如未編輯的密碼重置令牌。這些未編輯的標(biāo)記可能會泄漏查詢結(jié)果。
InQL可作為獨(dú)立應(yīng)用程序或Burp Suite的擴(kuò)展程序使用。
Brim Security開發(fā)的開源桌面應(yīng)用程序Brim可以輕松處理大型數(shù)據(jù)包捕獲(pcap)文件。
分析pcap文件對于網(wǎng)絡(luò)故障排除和安全事件響應(yīng)都非常有用。問題在于這些原始數(shù)據(jù)文件很很容易變得龐大而笨拙。
新開發(fā)的Brim實(shí)用程序使安全專業(yè)人員可以通過Zeek網(wǎng)絡(luò)流量分析框架遍歷大型數(shù)據(jù)包捕獲和日志,以發(fā)現(xiàn)有用情報。
Brim Security的創(chuàng)始人Steve McCanne指出:Zeek日志很好地總結(jié)了pcap,但是沒有一種簡單的方法可以在桌面上搜索它們,或輕松地鏈接回pcap。
他補(bǔ)充說:
多態(tài)圖像文件是指包含其他嵌入式代碼的文件,一個最簡單的例子就是包含拍攝參數(shù)EXIF或位置信息的手機(jī)或數(shù)碼相機(jī)照片,當(dāng)然,攻擊者也可以在多態(tài)圖像文件中加入能夠繞過安全審查的惡意代碼。
Doyensec近日發(fā)布了一種新的開放源代碼工具——標(biāo)準(zhǔn)化圖像處理測試套件。使研究人員能夠測試多態(tài)圖像中的跨站點(diǎn)腳本(XSS)有效載荷,已經(jīng)有安全研究人員因此獲得了上萬美元的收益。
來自Doyensec的研究人員通過使用該實(shí)用程序來入侵google Scholar,從而獲得了賞金。
Doyensec的Lorenzo Stella指出:
CAPTCHA驗(yàn)證碼是互聯(lián)網(wǎng)站和應(yīng)用的看門人,用以區(qū)分真人和機(jī)器人的登錄嘗試。
由安全公司F-Secure開發(fā)的CAPTCHA破解服務(wù)器——CAPTCHA22,應(yīng)用了機(jī)器學(xué)習(xí)技術(shù),使破解CAPTCHA驗(yàn)證碼變得更加簡單,在挑戰(zhàn)人工驗(yàn)證的過程中將“暴力”從“暴力破解”中抹掉。
F-Secure聲稱,其基于AI的CAPTCHA破解服務(wù)器能夠破解微軟Outlook的基于文本的CAPTCHA驗(yàn)證碼,準(zhǔn)確性達(dá)到90%,該工具的命名靈感來自于二戰(zhàn)時期Joseph Heller的著名小說《二十二條軍規(guī)》。
參考資料
CAPTCHA22的介紹文檔:
https://labs.f-secure.com/blog/releasing-the-captcha-cracken/
Doyensec標(biāo)準(zhǔn)化圖像處理測試套件:
https://github.com/doyensec/StandardizedImageProcessingTest/blob/master/README.md
