亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

本文匯總了2020年第二季度全球發(fā)布的最新Web安全工具。

由于新冠疫情肆虐，2020年的DEF CON黑客大會已經(jīng)轉(zhuǎn)移到線上，但是網(wǎng)絡(luò)安全愛好者有望在8月初線上會議期間看到大量新的黑客工具。

在此之前，長達數(shù)月的社交隔離和居家辦公后，宅在家中的各路網(wǎng)絡(luò)安全高手已經(jīng)憋出不少大招，迫不及待發(fā)布了大量高級黑客工具。

以下是2020年第二季度值得關(guān)注的五款最新Web安全工具：

ParamSpider：URL參數(shù)暴露審核工具

首先值得關(guān)注的是ParamSpider，這是一種全新的工具，可幫助網(wǎng)站和應(yīng)用程序發(fā)現(xiàn)暴露的URL參數(shù)。

ParamSpider是由印度安全研究人員Devansh Batham開發(fā)的開放源代碼工具，可自動執(zhí)行URL地址中參數(shù)的收集過程，這是對網(wǎng)站和應(yīng)用程序進行漏洞探測的關(guān)鍵一步。

然后，安全研究人員可以將從該工具中提取的數(shù)據(jù)輸入到模糊器中，以發(fā)現(xiàn)潛在的漏洞，從而簡化傳統(tǒng)上勞動密集型的流程。

InQL：可幫助開發(fā)人員查找GraphQL漏洞

DoYensec的安全研究人員最新發(fā)布的開源工具InQL大大簡化了GraphQL應(yīng)用程序的漏洞查找。GraphQL是最初在Facebook上開發(fā)的一種用于對服務(wù)器運行查詢的語言。

使用聲明性語言的開發(fā)人員可能會遇到一個普遍的錯誤，那就是用戶模型包含機密字段，例如未編輯的密碼重置令牌。這些未編輯的標記可能會泄漏查詢結(jié)果。

InQL可作為獨立應(yīng)用程序或Burp Suite的擴展程序使用。

Brim：可輕松瀏覽大量流量日志的網(wǎng)絡(luò)取證工具

Brim Security開發(fā)的開源桌面應(yīng)用程序Brim可以輕松處理大型數(shù)據(jù)包捕獲（pcap）文件。

分析pcap文件對于網(wǎng)絡(luò)故障排除和安全事件響應(yīng)都非常有用。問題在于這些原始數(shù)據(jù)文件很很容易變得龐大而笨拙。

新開發(fā)的Brim實用程序使安全專業(yè)人員可以通過Zeek網(wǎng)絡(luò)流量分析框架遍歷大型數(shù)據(jù)包捕獲和日志，以發(fā)現(xiàn)有用情報。

Brim Security的創(chuàng)始人Steve McCanne指出：Zeek日志很好地總結(jié)了pcap，但是沒有一種簡單的方法可以在桌面上搜索它們，或輕松地鏈接回pcap。

他補充說：

Brim在易于使用的桌面應(yīng)用程序（開放源代碼）中加入了這些功能，大大降低了使用門檻。

多態(tài)有效載荷圖像處理測試套件

多態(tài)圖像文件是指包含其他嵌入式代碼的文件，一個最簡單的例子就是包含拍攝參數(shù)EXIF或位置信息的手機或數(shù)碼相機照片，當然，攻擊者也可以在多態(tài)圖像文件中加入能夠繞過安全審查的惡意代碼。

Doyensec近日發(fā)布了一種新的開放源代碼工具——標準化圖像處理測試套件。使研究人員能夠測試多態(tài)圖像中的跨站點腳本（XSS）有效載荷，已經(jīng)有安全研究人員因此獲得了上萬美元的收益。

來自Doyensec的研究人員通過使用該實用程序來入侵Google Scholar，從而獲得了賞金。

Doyensec的Lorenzo Stella指出：

測試套件是探查轉(zhuǎn)換多態(tài)圖像的最流行的圖像處理庫之間差異的第一步。許多安全的圖像上傳庫已經(jīng)執(zhí)行了各種檢查，例如驗證圖像文件格式，試探性地檢查不需要的字節(jié)或清除EXIF元數(shù)據(jù)。我們的工具可以簡化發(fā)現(xiàn)圖像上傳安全檢查繞過漏洞的繁重工作，研究人員在安全測試工作或漏洞懸賞時會用到這個工具。

用機器學(xué)習(xí)破解CAPTCHA驗證碼

CAPTCHA驗證碼是互聯(lián)網(wǎng)站和應(yīng)用的看門人，用以區(qū)分真人和機器人的登錄嘗試。

由安全公司F-Secure開發(fā)的CAPTCHA破解服務(wù)器——CAPTCHA22，應(yīng)用了機器學(xué)習(xí)技術(shù)，使破解CAPTCHA驗證碼變得更加簡單，在挑戰(zhàn)人工驗證的過程中將“暴力”從“暴力破解”中抹掉。

F-Secure聲稱，其基于AI的CAPTCHA破解服務(wù)器能夠破解微軟Outlook的基于文本的CAPTCHA驗證碼，準確性達到90％，該工具的命名靈感來自于二戰(zhàn)時期Joseph Heller的著名小說《二十二條軍規(guī)》。

參考資料

CAPTCHA22的介紹文檔：

https://labs.f-secure.com/blog/releasing-the-captcha-cracken/

Doyensec標準化圖像處理測試套件：

https://github.com/doyensec/StandardizedImageProcessingTest/blob/master/README.md