最新的网络安全黑客工具-2020年第三季度

本篇文章我们一起来看看2020年第三季度发布的一些最新的安全攻击工具。

一、Vimeo的Psalm安全工具已扩展以支持污点分析

Vimeo针对基于PHP的开源静态分析工具 Psalm 进行了扩展，以支持污点分析。

污点分析使开发人员能够检查应用程序代码中用户输入的流程，并确定“污染”输入是否会危害程序。

该工具查找与用户输入源相关的可能的跨站脚本（XSS）和SQL注入错误。用户还可以定义自己的自定义污染源。

此外，在Vimeo的安全团队发现这类商业工具产生过多错误后，它被配置为减少误报的数量。

>>关于工具的详细介绍： https:// portswigger.net/daily-s wig/vimeos-psalm-security-tool-expanded-to-support-taint-analysis

二、KubiScan：在Black Hat 2020上展示的开源Kubernetes安全工具

开源工具 KubiScan 可使集群管理员使用Kubernetes协调容器化环境，以缩小攻击面。

KubiScan在今年的虚拟黑帽美国大会上揭晓。它可以扫描包含特权服务帐户令牌的Pod，这些Pod可能被滥用以发起特权升级攻击或破坏群集。

Eviatar Gerzi解释说，管理员通常使用1000多个容器来管理大型环境，这意味着很容易失去对每个容器的控制。

他解释说：“像KubiScan这样的工具可以很好地描绘出最易受攻击的特定容器。”

>>关于工具的详细介绍： https:// portswigger.net/daily-s wig/kubiscan-open-source-kubernetes-security-tool-showcased-at-black-hat-2020

三、ATTPwn：对手仿真工具使笔测试人员可以在攻击者面前发现安全漏洞

即将在美国黑帽大会上揭晓的另一种工具旨在模仿进行恶意软件活动或探测网络秘密的对手。

ATTPwn 旨在使渗透测试人员能够根据MITER ATT＆CK框架中规定的技术和策略，确定影响组织的潜在弱点。

它专为在Windows计算机上使用而设计，可以模仿著名的攻击，例如WannaCry和NotPetya勒索软件活动。

该工具的创建者表示，它还可以用于针对已建立的漏洞测试网络。

>>关于工具的详细介绍： ATTPwn: Adversary emulation tool allows pen testers to identify security holes before attackers do

四、开源后利用框架可自动执行Windows设备上的无提示RCE攻击

AutoRDPwn 是一个利用后的框架，允许安全专家重新创建针对Microsoft Windows系统的影子攻击。

阴影攻击是滥用错误配置的阴影会话的术语，美国黑帽公司（Black Hat）构建PowerShell工具的乔尔·加米兹（JoelGàmez）解释说。

它可以允许远程角色使用操作系统本身的本机工具查看其受害者的桌面，甚至根据需要对其进行控制。

没有明显的警告信号表明已部署AutoRDPwn –它不会消耗可疑的计算机资源量，并且受害者无法分辨是否有人正在实时监视，这意味着RCE攻击可能会被忽略。

>>关于工具的详细介绍： Black Hat USA: Open source post-exploitation framework automates silent RCE attacks on Windows devices

五、xGitGuard使用AI检测GitHub上的无意公开数据

在Black Hat在线活动中还展示了一种检测GitHub上意外泄露的凭据和其他机密的工具。

名为 xGitGuard ，它使用人工智能（AI）来挖掘API令牌或用户凭据，这些令牌或用户凭据通常被错误地遗留在开源平台上的代码中。

它的创建者说，该实用程序提供了一种快速，可扩展的方式，可以利用机器学习来扫描此类信息。

>>关于工具的详细介绍： Black Hat 2020: xGitGuard uses AI to detect inadvertently exposed data on GitHub

本月还发布了一些防御工具，为了提高组织和计算机用户的安全性：

1.一个新的开源浏览器扩展名为 Behave！ 旨在通过检测端口扫描，访问私有IP以及在Chrome和Firefox中重新绑定DNS来提高用户的安全性和隐私性。

2.微软研究院推出了一项名为 Project Freta 的免费服务，该服务旨在检测实时Linux系统的内存快照中是否存在rootkit和高级恶意软件。

Freta项目的目标旨在使虚拟机（VM）取证自动化并实现民主化，以至每个用户和每个企业都可以按一下按钮，针对请求的未知恶意软件清除易失性内存。

这样的服务（如果可靠）将随着时间的流逝而在检测到破坏迹象的过程中得到改善，因此，使不法之徒越来越难以（且昂贵）地开发出足以逃避检测的狡猾恶意软件。微软表示，所有这些都导致了明亮，阳光普照的高地。

一个博客帖子来自微软研究院扩展了这些目标：“会发生什么，如果一个商业云可以保证恶意软件捕获，无论多么昂贵或异国情调，在易失性存储器？

“然后，隐性恶意软件的生产者将被锁定在昂贵的完全重新发明的周期中，从而使这种云成为不适合进行网络攻击的地方。”

3.亚马逊网络服务（AWS）推出了一种新工具– HTTP Desync Guardian –旨在“分析HTTP请求以防止HTTP Desync攻击，平衡安全性和可用性”。

原文链接： https:// portswigger.net/daily-s wig/latest-web-hacking-tools-q3-2020

今天的内容就分享到这里,希望对你有所帮助。最近二向箔安全推出了 漏洞挖掘定制化实战班 ，小白入门到挖洞大佬，如果你也想学习漏洞挖掘并获得一定的报酬奖励，可以关注@二向箔安全学院

自学的朋友可以领，现在没设置收费

• 《资产探测与主机安全》：知识盒子 资产探测与主机安全：censys、fofa、NSE、Hydra等实用工具教学，体系化学习资产探测，高效辅助漏洞挖掘
• 《CTF实战特训课程》：知识盒子 CTF实战特训课程：典型套路、题目详解、代码审计、赛事讲解
• 《新手入门|穿越赛博》：知识盒子 新手入门|穿越赛博：常见安全工具安装与使用，视频教学，截图验证，适合网络安全入门
• 《主题进阶|前端黑客》：知识盒子 前端迷雾：常见web前端安全漏洞，简单易懂，在线靶场练习，视频演示，通过学习掌握基础前端安全思路
• 《暗夜契约|Python黑客》：知识盒子 python黑客: 内容涵盖流量分析，Flask模板注入等常见python安全基础与工具开发，需要有一定python基础，内容具有一定学习深度。