2020年二季度Web安全工具TOP5
由于新冠疫情肆虐,2020年的DEF CON黑客大會已經轉移到線上,但是網絡安全愛好者有望在8月初線上會議期間看到大量新的黑客工具。
在此之前,長達數月的社交隔離和居家辦公后,宅在家中的各路網絡安全高手已經憋出不少大招,迫不及待發布了大量高級黑客工具。
以下是2020年第二季度值得關注的五款最新Web安全工具:
ParamSpider:URL參數暴露審核工具
首先值得關注的是ParamSpider,這是一種全新的工具,可幫助網站和應用程序發現暴露的URL參數。
ParamSpider是由印度安全研究人員Devansh Batham開發的開放源代碼工具,可自動執行URL地址中參數的收集過程,這是對網站和應用程序進行漏洞探測的關鍵一步。
然后,安全研究人員可以將從該工具中提取的數據輸入到模糊器中,以發現潛在的漏洞,從而簡化傳統上勞動密集型的流程。
InQL:可幫助開發人員查找GraphQL漏洞
DoYensec的安全研究人員最新發布的開源工具InQL大大簡化了GraphQL應用程序的漏洞查找。GraphQL是最初在Facebook上開發的一種用于對服務器運行查詢的語言。
使用聲明性語言的開發人員可能會遇到一個普遍的錯誤,那就是用戶模型包含機密字段,例如未編輯的密碼重置令牌。這些未編輯的標記可能會泄漏查詢結果。
InQL可作為獨立應用程序或Burp Suite的擴展程序使用。
Brim:可輕松瀏覽大量流量日志的網絡取證工具
Brim Security開發的開源桌面應用程序Brim可以輕松處理大型數據包捕獲(pcap)文件。
分析pcap文件對于網絡故障排除和安全事件響應都非常有用。問題在于這些原始數據文件很很容易變得龐大而笨拙。
新開發的Brim實用程序使安全專業人員可以通過Zeek網絡流量分析框架遍歷大型數據包捕獲和日志,以發現有用情報。
Brim Security的創始人Steve McCanne指出:Zeek日志很好地總結了pcap,但是沒有一種簡單的方法可以在桌面上搜索它們,或輕松地鏈接回pcap。
他補充說:“Brim在易于使用的桌面應用程序(開放源代碼)中加入了這些功能,大大降低了使用門檻。”
多態有效載荷圖像處理測試套件
多態圖像文件是指包含其他嵌入式代碼的文件,一個最簡單的例子就是包含拍攝參數EXIF或位置信息的手機或數碼相機照片,當然,攻擊者也可以在多態圖像文件中加入能夠繞過安全審查的惡意代碼。
Doyensec近日發布了一種新的開放源代碼工具——標準化圖像處理測試套件。使研究人員能夠測試多態圖像中的跨站點腳本(XSS)有效載荷,已經有安全研究人員因此獲得了上萬美元的收益。
來自Doyensec的研究人員通過使用該實用程序來入侵Google Scholar,從而獲得了賞金。
“測試套件是探查轉換多態圖像的最流行的圖像處理庫之間差異的第一步,”Doyensec的Lorenzo Stella指出。
“許多安全的圖像上傳庫已經執行了各種檢查,例如驗證圖像文件格式,試探性地檢查不需要的字節或清除EXIF元數據。我們的工具可以簡化發現圖像上傳安全檢查繞過漏洞的繁重工作,研究人員在安全測試工作或漏洞懸賞時會用到這個工具。”
用機器學習破解CAPTCHA驗證碼
CAPTCHA驗證碼是互聯網站和應用的看門人,用以區分真人和機器人的登錄嘗試。
由安全公司F-Secure開發的CAPTCHA破解服務器——CAPTCHA22,應用了機器學習技術,使破解CAPTCHA驗證碼變得更加簡單,在挑戰人工驗證的過程中將“暴力”從“暴力破解”中抹掉。
F-Secure聲稱,其基于AI的CAPTCHA破解服務器能夠破解微軟Outlook的基于文本的CAPTCHA驗證碼,準確性達到90%,該工具的命名靈感來自于二戰時期Joseph Heller的著名小說《二十二條軍規》。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
