2020年二季度Web安全工具TOP5

本文汇总了2020年第二季度全球发布的最新Web安全工具。

由于新冠疫情肆虐，2020年的DEF CON黑客大会已经转移到线上，但是网络安全爱好者有望在8月初线上会议期间看到大量新的黑客工具。

在此之前，长达数月的社交隔离和居家办公后，宅在家中的各路网络安全高手已经憋出不少大招，迫不及待发布了大量高级黑客工具。

以下是2020年第二季度值得关注的五款最新Web安全工具：

首先值得关注的是ParamSpider，这是一种全新的工具，可帮助网站和应用程序发现暴露的URL参数。

ParamSpider是由印度安全研究人员Devansh Batham开发的开放源代码工具，可自动执行URL地址中参数的收集过程，这是对网站和应用程序进行漏洞探测的关键一步。

然后，安全研究人员可以将从该工具中提取的数据输入到模糊器中，以发现潜在的漏洞，从而简化传统上劳动密集型的流程。

DoYensec的安全研究人员最新发布的开源工具InQL大大简化了GraphQL应用程序的漏洞查找。GraphQL是最初在Facebook上开发的一种用于对服务器运行查询的语言。

使用声明性语言的开发人员可能会遇到一个普遍的错误，那就是用户模型包含机密字段，例如未编辑的密码重置令牌。这些未编辑的标记可能会泄漏查询结果。

InQL可作为独立应用程序或Burp Suite的扩展程序使用。

Brim Security开发的开源桌面应用程序Brim可以轻松处理大型数据包捕获（pcap）文件。

分析pcap文件对于网络故障排除和安全事件响应都非常有用。问题在于这些原始数据文件很很容易变得庞大而笨拙。

新开发的Brim实用程序使安全专业人员可以通过Zeek网络流量分析框架遍历大型数据包捕获和日志，以发现有用情报。

Brim Security的创始人Steve McCanne指出：Zeek日志很好地总结了pcap，但是没有一种简单的方法可以在桌面上搜索它们，或轻松地链接回pcap。

他补充说：

多态图像文件是指包含其他嵌入式代码的文件，一个最简单的例子就是包含拍摄参数EXIF或位置信息的手机或数码相机照片，当然，攻击者也可以在多态图像文件中加入能够绕过安全审查的恶意代码。

Doyensec近日发布了一种新的开放源代码工具——标准化图像处理测试套件。使研究人员能够测试多态图像中的跨站点脚本（XSS）有效载荷，已经有安全研究人员因此获得了上万美元的收益。

来自Doyensec的研究人员通过使用该实用程序来入侵google Scholar，从而获得了赏金。

Doyensec的Lorenzo Stella指出：

CAPTCHA验证码是互联网站和应用的看门人，用以区分真人和机器人的登录尝试。

由安全公司F-Secure开发的CAPTCHA破解服务器——CAPTCHA22，应用了机器学习技术，使破解CAPTCHA验证码变得更加简单，在挑战人工验证的过程中将“暴力”从“暴力破解”中抹掉。

F-Secure声称，其基于AI的CAPTCHA破解服务器能够破解微软Outlook的基于文本的CAPTCHA验证码，准确性达到90％，该工具的命名灵感来自于二战时期Joseph Heller的著名小说《二十二条军规》。

参考资料

CAPTCHA22的介绍文档：

https://labs.f-secure.com/blog/releasing-the-captcha-cracken/

Doyensec标准化图像处理测试套件：

https://github.com/doyensec/StandardizedImageProcessingTest/blob/master/README.md