2020年二季度Web安全工具TOP5
由于新冠疫情肆虐,2020年的DEF CON黑客大會已經(jīng)轉(zhuǎn)移到線上,但是網(wǎng)絡安全愛好者有望在8月初線上會議期間看到大量新的黑客工具。
在此之前,長達數(shù)月的社交隔離和居家辦公后,宅在家中的各路網(wǎng)絡安全高手已經(jīng)憋出不少大招,迫不及待發(fā)布了大量高級黑客工具。
以下是2020年第二季度值得關注的五款最新Web安全工具:
ParamSpider:URL參數(shù)暴露審核工具
首先值得關注的是ParamSpider,這是一種全新的工具,可幫助網(wǎng)站和應用程序發(fā)現(xiàn)暴露的URL參數(shù)。
ParamSpider是由印度安全研究人員Devansh Batham開發(fā)的開放源代碼工具,可自動執(zhí)行URL地址中參數(shù)的收集過程,這是對網(wǎng)站和應用程序進行漏洞探測的關鍵一步。
然后,安全研究人員可以將從該工具中提取的數(shù)據(jù)輸入到模糊器中,以發(fā)現(xiàn)潛在的漏洞,從而簡化傳統(tǒng)上勞動密集型的流程。
InQL:可幫助開發(fā)人員查找GraphQL漏洞
DoYensec的安全研究人員最新發(fā)布的開源工具InQL大大簡化了GraphQL應用程序的漏洞查找。GraphQL是最初在Facebook上開發(fā)的一種用于對服務器運行查詢的語言。
使用聲明性語言的開發(fā)人員可能會遇到一個普遍的錯誤,那就是用戶模型包含機密字段,例如未編輯的密碼重置令牌。這些未編輯的標記可能會泄漏查詢結(jié)果。
InQL可作為獨立應用程序或Burp Suite的擴展程序使用。
Brim:可輕松瀏覽大量流量日志的網(wǎng)絡取證工具
Brim Security開發(fā)的開源桌面應用程序Brim可以輕松處理大型數(shù)據(jù)包捕獲(pcap)文件。
分析pcap文件對于網(wǎng)絡故障排除和安全事件響應都非常有用。問題在于這些原始數(shù)據(jù)文件很很容易變得龐大而笨拙。
新開發(fā)的Brim實用程序使安全專業(yè)人員可以通過Zeek網(wǎng)絡流量分析框架遍歷大型數(shù)據(jù)包捕獲和日志,以發(fā)現(xiàn)有用情報。
Brim Security的創(chuàng)始人Steve McCanne指出:Zeek日志很好地總結(jié)了pcap,但是沒有一種簡單的方法可以在桌面上搜索它們,或輕松地鏈接回pcap。
他補充說:“Brim在易于使用的桌面應用程序(開放源代碼)中加入了這些功能,大大降低了使用門檻。”
多態(tài)有效載荷圖像處理測試套件
多態(tài)圖像文件是指包含其他嵌入式代碼的文件,一個最簡單的例子就是包含拍攝參數(shù)EXIF或位置信息的手機或數(shù)碼相機照片,當然,攻擊者也可以在多態(tài)圖像文件中加入能夠繞過安全審查的惡意代碼。
Doyensec近日發(fā)布了一種新的開放源代碼工具——標準化圖像處理測試套件。使研究人員能夠測試多態(tài)圖像中的跨站點腳本(XSS)有效載荷,已經(jīng)有安全研究人員因此獲得了上萬美元的收益。
來自Doyensec的研究人員通過使用該實用程序來入侵Google Scholar,從而獲得了賞金。
“測試套件是探查轉(zhuǎn)換多態(tài)圖像的最流行的圖像處理庫之間差異的第一步,”Doyensec的Lorenzo Stella指出。
“許多安全的圖像上傳庫已經(jīng)執(zhí)行了各種檢查,例如驗證圖像文件格式,試探性地檢查不需要的字節(jié)或清除EXIF元數(shù)據(jù)。我們的工具可以簡化發(fā)現(xiàn)圖像上傳安全檢查繞過漏洞的繁重工作,研究人員在安全測試工作或漏洞懸賞時會用到這個工具。”
用機器學習破解CAPTCHA驗證碼
CAPTCHA驗證碼是互聯(lián)網(wǎng)站和應用的看門人,用以區(qū)分真人和機器人的登錄嘗試。
由安全公司F-Secure開發(fā)的CAPTCHA破解服務器——CAPTCHA22,應用了機器學習技術,使破解CAPTCHA驗證碼變得更加簡單,在挑戰(zhàn)人工驗證的過程中將“暴力”從“暴力破解”中抹掉。
F-Secure聲稱,其基于AI的CAPTCHA破解服務器能夠破解微軟Outlook的基于文本的CAPTCHA驗證碼,準確性達到90%,該工具的命名靈感來自于二戰(zhàn)時期Joseph Heller的著名小說《二十二條軍規(guī)》。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
