行业新闻与博客

我们回顾一下过去三个月中发布的一些最新的攻击性安全工具

DEF CON 今年已经虚拟化了，但是网络安全爱好者仍然可以期望在下个月初看到大量新的黑客工具。

同时，由于世界各地许多技术行业不得不经历一段时间的锁定，过去三个月中发布了大量吸引和探索 Web 安全实用程序。

这是我们对 2020年第二季度的最新黑客工具的概述：

ParamSpider：URL 参数公开审核工具

首先出现的是 ParamSpider，这是一种新工具，可帮助发现网站和应用程序中的 URL 参数公开。

由独立的印度安全研究人员 Devansh Batham 组合而成的开放源代码工具可自动执行 URL 地址中参数的收集过程，这是对网站和应用程序进行漏洞探测的一种方法中的关键一步。

然后，安全研究人员可以将从该工具中提取的数据输入到模糊器中，以发现潜在的漏洞，从而简化传统上劳动密集型的流程。

阅读有关 ParamSpider 的更多信息

InQL 帮助开发人员发现 GraphQL 漏洞

通过发布新的开源工具，简化了使用 GraphQL 的应用程序中发现缺陷的过程。

DoYensec 的安全研究人员将 InQL 整合到一起，从而发现了 GraphQL 中的漏洞，GraphQL 是最初在 Facebook 上开发的一种用于对服务器运行查询的语言。

使用声明性语言的开发人员经常会犯的一个错误是，使用户模型包含机密字段，例如未编辑的密码重置令牌。这些未编辑的标记可能会泄漏查询结果。

InQL 可作为独立应用程序或 Burp Suite 的扩展程序使用。

阅读有关 InQL 的更多信息

Brim 网络取证工具可轻松浏览大量流量日志

开源桌面应用程序使处理大型数据包捕获（pcap）文件变得容易。

分析 pcap 文件对于网络故障排除和安全事件响应都非常有用。问题在于这些原始数据文件很容易变得庞大而笨拙。

新开发的 Brim 实用程序使安全专业人员可以通过 Zeek 网络流量分析框架遍历大型数据包捕获和日志记录，以发现有用情报的核心。

网络取证工具由美国供应商 Brim Security 开发。

Brim Security 的创始人史蒂夫·麦卡纳（Steve McCanne）告诉《每日新闻》：“大型行动繁琐，但细节很多。Zeek日志很好地总结了 pcap，但是没有简单的方法可以在桌面上搜索它们，也不能轻松地链接回 pcap。

他补充说：“ Brim 在易于使用的桌面应用程序（开放源代码）中加入了这些域，因此任何人现在都可以使用它。”

阅读有关 Brim 的更多信息

想象一下：多态有效载荷图像处理测试套件

一种允许研究人员试用其多态图像中的跨站点脚本（XSS）有效载荷的新开放源代码工具，已经使安全研究人员获得了 10,000 美元的收益。

来自 Doyensec 的研究人员通过使用该实用程序来入侵 Google Scholar，从而获得了赏金。

多态图像文件是包含其他嵌入式代码的文件。

Doyensec 的 Lorenzo Stella 告诉 The Daily Swig：“测试套件是在转换多态图像时探索最流行的图像处理库之间差异的第一步。”

“许多安全的图像上传库已经执行了各种检查，例如验证图像文件格式，试探性地检查其节中不需要的字节或清除 EXIF 的元数据。

“我们的工具可以简化由图像上传服务实施的安全检查中发现绕过的繁琐工作，因此，我们希望其他研究人员在安全测试或漏洞悬赏期间使用该工具。”

阅读有关此安全工具的更多信息

使用机器学习破解 CAPTCHA

最近开发的工具应用了机器学习技术，使破解 CAPTCHA 更加简单。

由安全公司 F-Secure 开发的 CAPTCHA 破解服务器 CAPTCHA22 在解决人工验证挑战的过程中将“蛮力”从“蛮力”中解脱出来。

CAPTCHA 是挑战响应测试，许多站点都将其用作看门人，以区分人类真正尝试登录 Web 服务的尝试与机器人自动请求的区别。

使用其基于 AI 的 CAPTCHA 破解服务器破解 Microsoft Outlook 的基于文本的 CAPTCHA 的准确性达到 90％，该名称的灵感来自于二战时期著名的 Joseph Heller 小说。

本文由机器译制