由于新冠疫情肆虐，2020年的DEF CON黑客大會(huì)已經(jīng)轉(zhuǎn)移到線上，但是網(wǎng)絡(luò)安全愛好者有望在8月初線上會(huì)議期間看到大量新的黑客工具。

在此之前，長達(dá)數(shù)月的社交隔離和居家辦公后，宅在家中的各路網(wǎng)絡(luò)安全高手已經(jīng)憋出不少大招，迫不及待發(fā)布了大量高級黑客工具。

[[333182]]

以下是2020年第二季度值得關(guān)注的五款最新Web安全工具：

ParamSpider：URL參數(shù)暴露審核工具

首先值得關(guān)注的是ParamSpider，這是一種全新的工具，可幫助網(wǎng)站和應(yīng)用程序發(fā)現(xiàn)暴露的URL參數(shù)。

ParamSpider是由印度安全研究人員Devansh Batham開發(fā)的開放源代碼工具，可自動(dòng)執(zhí)行URL地址中參數(shù)的收集過程，這是對網(wǎng)站和應(yīng)用程序進(jìn)行漏洞探測的關(guān)鍵一步。

然后，安全研究人員可以將從該工具中提取的數(shù)據(jù)輸入到模糊器中，以發(fā)現(xiàn)潛在的漏洞，從而簡化傳統(tǒng)上勞動(dòng)密集型的流程。

InQL：可幫助開發(fā)人員查找GraphQL漏洞

DoYensec的安全研究人員最新發(fā)布的開源工具InQL大大簡化了GraphQL應(yīng)用程序的漏洞查找。GraphQL是最初在Facebook上開發(fā)的一種用于對服務(wù)器運(yùn)行查詢的語言。

使用聲明性語言的開發(fā)人員可能會(huì)遇到一個(gè)普遍的錯(cuò)誤，那就是用戶模型包含機(jī)密字段，例如未編輯的密碼重置令牌。這些未編輯的標(biāo)記可能會(huì)泄漏查詢結(jié)果。

InQL可作為獨(dú)立應(yīng)用程序或Burp Suite的擴(kuò)展程序使用。

Brim：可輕松瀏覽大量流量日志的網(wǎng)絡(luò)取證工具

Brim Security開發(fā)的開源桌面應(yīng)用程序Brim可以輕松處理大型數(shù)據(jù)包捕獲(pcap)文件。

分析pcap文件對于網(wǎng)絡(luò)故障排除和安全事件響應(yīng)都非常有用。問題在于這些原始數(shù)據(jù)文件很很容易變得龐大而笨拙。

新開發(fā)的Brim實(shí)用程序使安全專業(yè)人員可以通過Zeek網(wǎng)絡(luò)流量分析框架遍歷大型數(shù)據(jù)包捕獲和日志，以發(fā)現(xiàn)有用情報(bào)。

Brim Security的創(chuàng)始人Steve McCanne指出：Zeek日志很好地總結(jié)了pcap，但是沒有一種簡單的方法可以在桌面上搜索它們，或輕松地鏈接回pcap。

他補(bǔ)充說：“Brim在易于使用的桌面應(yīng)用程序(開放源代碼)中加入了這些功能，大大降低了使用門檻。”

多態(tài)有效載荷圖像處理測試套件

多態(tài)圖像文件是指包含其他嵌入式代碼的文件，一個(gè)最簡單的例子就是包含拍攝參數(shù)EXIF或位置信息的手機(jī)或數(shù)碼相機(jī)照片，當(dāng)然，攻擊者也可以在多態(tài)圖像文件中加入能夠繞過安全審查的惡意代碼。

Doyensec近日發(fā)布了一種新的開放源代碼工具——標(biāo)準(zhǔn)化圖像處理測試套件。使研究人員能夠測試多態(tài)圖像中的跨站點(diǎn)腳本(XSS)有效載荷，已經(jīng)有安全研究人員因此獲得了上萬美元的收益。

來自Doyensec的研究人員通過使用該實(shí)用程序來入侵Google Scholar，從而獲得了賞金。

“測試套件是探查轉(zhuǎn)換多態(tài)圖像的最流行的圖像處理庫之間差異的第一步，”Doyensec的Lorenzo Stella指出。

“許多安全的圖像上傳庫已經(jīng)執(zhí)行了各種檢查，例如驗(yàn)證圖像文件格式，試探性地檢查不需要的字節(jié)或清除EXIF元數(shù)據(jù)。我們的工具可以簡化發(fā)現(xiàn)圖像上傳安全檢查繞過漏洞的繁重工作，研究人員在安全測試工作或漏洞懸賞時(shí)會(huì)用到這個(gè)工具。”

用機(jī)器學(xué)習(xí)破解CAPTCHA驗(yàn)證碼

[[333183]]

CAPTCHA驗(yàn)證碼是互聯(lián)網(wǎng)站和應(yīng)用的看門人，用以區(qū)分真人和機(jī)器人的登錄嘗試。

由安全公司F-Secure開發(fā)的CAPTCHA破解服務(wù)器——CAPTCHA22，應(yīng)用了機(jī)器學(xué)習(xí)技術(shù)，使破解CAPTCHA驗(yàn)證碼變得更加簡單，在挑戰(zhàn)人工驗(yàn)證的過程中將“暴力”從“暴力破解”中抹掉。

F-Secure聲稱，其基于AI的CAPTCHA破解服務(wù)器能夠破解微軟Outlook的基于文本的CAPTCHA驗(yàn)證碼，準(zhǔn)確性達(dá)到90%，該工具的命名靈感來自于二戰(zhàn)時(shí)期Joseph Heller的著名小說《二十二條軍規(guī)》。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文