在我们之后最近的年末回顾,现在是时候再回顾了 - 这次在2021年最后季度发布的一些最引人注目的开源黑客工具。
通过新的工具通过用于检测依赖混乱攻击,找到新颖的新工具,对钢笔测试师http请求走私技术,并揭示泄露,配对的私人和公共钥匙,可能是危险的。
阅读以发现一些最好的黑客工具这是在去年尾末推出的。
谷歌支持的'PIP-AUDIT'探测弱势包的Python环境
扫描的谷歌备份工具的开发人员Python具有已知漏洞的包的环境“希望构建没有附加任何财务或许可字符串的工具”。
威廉伍德拉夫,项目领先于纽约的网络安全迹纵横道,告诉每日SWbeplay2018官网IG.他们也“想要适用于人类和机器的东西:很多工具(比如依赖,也很棒)紧紧地锁定到用户或自动化流程”。
'PIP-AUDIT'利用PYPI JSON API将依赖项与Python打包咨询数据库进行比较,或者可选择开源漏洞(OSV)数据库。
沙箱有助于确定OWASP MODSECURY CRS是否可以在新的CVES面上“购买时间”
用于测试OWASP MODSECURITY CORE规则集(CRS)的有效载荷的新沙箱无需安装ModSecurity框。
它可以帮助面临新CVE的人们找出CRS - 一组通用攻击检测规则,用于Modsecurity或兼容beplay体育能用吗Web应用程序防火墙(WAFS) - 根据项目维护者,“可以购买时间”。
他们还表示,CRS沙箱可以帮助保护CRS项目本身,“因为我们可以快速测试各种版本和后端的有效载荷以确认GitHub.问题(假阴性,误报)。“
差动模糊工具揭示了新型HTTP请求走私技巧
通过生成HTTP请求和应用突变以触发潜在的服务器处理QUIRK来解除新的语法的HTTP FUZZER通过生成HTTP请求和应用突变来解除新的HTTP请求走私技术。
来自东北大学的研究人员,波士顿在Akamai的帮助下发达了“T-Reqs”,并表示他们很快发现了丰富的新人漏洞用工具。
他们的研究专注于HTTP请求走私作为一个系统交互问题,涉及交通路径上的至少两个HTTP处理器。
Driftwood检测有可能有害的加密密钥
'Driftwood'用于发现泄露,配对的私人和公共钥匙可能有害。
Truffle Security开发了该工具让“安全专业人员立即知道如果是确定的加密关键是在线存储库中的一个敏感的关键。
“修复漏洞的第一步是了解他们,”Truffle Security联合创始人Dylan Ayrey告诉每日SWbeplay2018官网IG.。
“如果人们今天提交SSL键,那么很难了解它。此工具可帮助Infosec专业人员快速查找这些漏洞,因此它们可以让受影响的证书尽快撤销。“
依赖性组合器对抗名称空间混淆攻击
依赖性组合器检测依赖混乱攻击,这困扰了开源软件生态系统,因为该技术在2021年2月披露。
揭开黑色帽子欧洲2021,模块化,基于Python的框架可以嵌入软件开发生命周期(SDLC)和CI / CD.工作流程,在SDLC的提交,构建或释放阶段检测恶意软件包。
Moshe Zioni,安全研究的VPdevsecops开发工具包的供应商APIIRO表示,依赖性组合器可以“解决可以多样化的常见场景”,并适于检测出现的攻击变化。
尊敬的密码审核工具L0Phtcrack是开放的
视窗系统密码审计工具L0Phtcrack于10月份开放,后者在6月倒入原始所有者的手中后,在Terahash收购崩溃之后,它在6月份倒入原始所有者手中。
20多年前推出的L0Phtcrack可以从Linux,BSD,Solaris和AIX(基于UNIX的系统)审核Active Directory密码和导入和破解密码。
克里斯·沃阿多普,是黑客集体L0PHT重工业的前成员,其中建立了该工具,告诉每日SWbeplay2018官网IG.:“我认为这可能是一个不仅仅是密码破解最终的框架,而是常用的”安全审计“任务的一般自动化。”
