产业气象站|2020年二季度Web安全工具TOP5 本文汇总了2020年第二季度全球发布的最

本文汇总了2020年第二季度全球发布的最新Web安全工具。

文章图片
由于新冠疫情肆虐， 2020年的DEFCON黑客大会已经转移到线上，但是网络安全爱好者有望在8月初线上会议期间看到大量新的黑客工具。
在此之前，长达数月的社交隔离和居家办公后，宅在家中的各路网络安全高手已经憋出不少大招，迫不及待发布了大量高级黑客工具。
以下是2020年第二季度值得关注的五款最新Web安全工具：
ParamSpider：URL参数暴露审核工具

文章图片
首先值得关注的是ParamSpider ，这是一种全新的工具，可帮助网站和应用程序发现暴露的URL参数。
ParamSpider是由印度安全研究人员DevanshBatham开发的开放源代码工具，可自动执行URL地址中参数的收集过程，这是对网站和应用程序进行漏洞探测的关键一步。
然后，安全研究人员可以将从该工具中提取的数据输入到模糊器中，以发现潜在的漏洞，从而简化传统上劳动密集型的流程。
InQL：可帮助开发人员查找GraphQL漏洞

文章图片
DoYensec的安全研究人员最新发布的开源工具InQL大大简化了GraphQL应用程序的漏洞查找。 GraphQL是最初在Facebook上开发的一种用于对服务器运行查询的语言。
使用声明性语言的开发人员可能会遇到一个普遍的错误，那就是用户模型包含机密字段，例如未编辑的密码重置令牌。这些未编辑的标记可能会泄漏查询结果。
InQL可作为独立应用程序或BurpSuite的扩展程序使用。
Brim：可轻松浏览大量流量日志的网络取证工具

文章图片
BrimSecurity开发的开源桌面应用程序Brim可以轻松处理大型数据包捕获（pcap）文件。
分析pcap文件对于网络故障排除和安全事件响应都非常有用。问题在于这些原始数据文件很很容易变得庞大而笨拙。
新开发的Brim实用程序使安全专业人员可以通过Zeek网络流量分析框架遍历大型数据包捕获和日志，以发现有用情报。
BrimSecurity的创始人SteveMcCanne指出：Zeek日志很好地总结了pcap ，但是没有一种简单的方法可以在桌面上搜索它们，或轻松地链接回pcap 。
他补充说：“Brim在易于使用的桌面应用程序（开放源代码）中加入了这些功能，大大降低了使用门槛。 ”
多态有效载荷图像处理测试套件

文章图片
多态图像文件是指包含其他嵌入式代码的文件，一个最简单的例子就是包含拍摄参数EXIF或位置信息的手机或数码相机照片，当然，攻击者也可以在多态图像文件中加入能够绕过安全审查的恶意代码。
Doyensec近日发布了一种新的开放源代码工具——标准化图像处理测试套件。使研究人员能够测试多态图像中的跨站点脚本（XSS）有效载荷，已经有安全研究人员因此获得了上万美元的收益。
来自Doyensec的研究人员通过使用该实用程序来入侵GoogleScholar ，从而获得了赏金。
“测试套件是探查转换多态图像的最流行的图像处理库之间差异的第一步， ”Doyensec的LorenzoStella指出。
“许多安全的图像上传库已经执行了各种检查，例如验证图像文件格式，试探性地检查不需要的字节或清除EXIF元数据。我们的工具可以简化发现图像上传安全检查绕过漏洞的繁重工作，研究人员在安全测试工作或漏洞悬赏时会用到这个工具。 ”