我们看一下安全研究人员军械库的最新添加
2022年初的几个月在我们身后,当安全专业人员为即将到来的会议季节做准备时,现在是时候加载安全工具了。
在黑暗和潮湿的北半球冬季安全研究人员一直在努力工作,将新工具和公用事业的存储汇总在一起 - 其中许多已被发布为开源软件。
因此,事不宜迟,这是我们最新的季度综述黑客工具可用于笔测试仪,企业安全2022年第二季度开始时,专家和其他Infosec专业人员。
实验室环境用于学习API安全性
旨在帮助用户的测试平台了解API安全性已发布给开源社区。
近年来,API Security在争取改善企业网络安全的战斗中已移至前线。beplay体育能用吗
VAPI,也称为“脆弱的不利编程界面”,旨在展示Owasp的API前十名,创造一个安全的环境来观察其行为。
VAPI由Holm Security的研究人员开发,提供了一个开源的基于PHP的界面,在Github上可用,可以通过PHP,MySQL和Postman或Docker映像作为自托管API运行。
非商业网络钓鱼电子邮件分析工具
一种自动分析过程的非商业工具网络钓鱼电子邮件有潜力帮助组织系统地保护自己免受骗局。
thephish从可疑电子邮件中提取指标,包括IP地址,电子邮件地址,域,URL和文件附件。此信息被馈送到Cortex,这是一个主动响应引擎。
该工具由意大利网络安全公司SECSI的研究人员Emanuele Galdi组合在一起,与事件响应平台Thehive集成。Thephish获得的积极结果通过恶意软件信息共享平台(MISP)交换。
模糊工具加快网络应用程序的测试
一种原型工具,可以加快测试过程联网伦敦帝国学院的研究人员已经开发了应用和协议。
snapfuzz旨在克服时序限制,可以抑制通过其步伐提出网络应用程序的过程。
作为一个模糊的框架,它尝试了各种各样的输入值,并监视可能揭示潜在错误的异常输出。
保护JavaScript应用免受恶意NPM软件包
通过引入三个定制公用事业,可以简化屏蔽应用程序中的应用程序的任务。
工具 -NPM安全装置,,,,包装检查器, 和npm_issues_statistic- 旨在验证是否可以信任包装版本以及监视包含有问题依赖性的应用程序。
软件公司JFrog对公用事业开发的创世纪来自最近的一个事件,其中开发人员故意更改了两个NPM软件包,浏览了这些应用程序,并破坏了依赖于它们的任何应用程序。
发现一个弱文本 - 还原解剖工具
任何认为像素化文本都提供有效的方法来模糊或编辑内容的人都会被新的黑客工具消除。
未读取能够使用编辑的像素化文本,并揭示“清晰的文本”脆弱的安全技术应该隐藏。
开发福克斯主教说,该工具表明像素化是“一种不善,不好,不安全,确定的方法来泄漏敏感数据”。
AWS公用事业可防止悬挂式弹性IP接管
回答“您要打电话给谁?”的问题,以应对麻烦的课程AWS安全问题Ghostbuster来了。
由澳大利亚网络安全公司AssetNote开发的一种工具Ghostbuster列举了与组织的AWS帐户相关的所有公共IPDNS记录了组织不拥有的弹性IP的点。
该方法提供了一种“万无一失的方式”,用于检测悬挂的弹性IP接管,这是一类子域接管攻击。
以及托管恶意内容或利用“可信赖的”领域网络钓鱼攻击者可能会尝试使用竞标中的策略来索取子域的SSL证书和其他此类恶作剧。