2020年四季度网络安全工具精选集

在SolarWinds供应链攻击的一部分中，直到2020年圣诞节前的一周一直受到FireEye盗窃红队黑客工具的持续影响的支配。

安静地讲，在过去三个月中，那些不在间谍活动范围内的人享受了许多合法来源的工具。

这是我们对2020年第四季度的最新黑客工具的汇总：

Semgrep “源代码分析Burp套件”

软件安全初创公司r2c推出了一个静态分析工具，希望它能够成为“源代码分析的Burp套件”。

Semgrep是一个免费的开源工具，可在每次构建或提交时按需扫描或自动在CI / CD中扫描整个项目，并在本地进行所有分析。

r2c安全研究负责人Clint Gibler告诉The Daily Swig：“ Semgrep旨在利用数百种安全规则开箱即用。” “但是至关重要的是，它的目标是高度可定制并且易于调整为要测试的代码库。”

Sharkcop 使用机器学习来检测网络钓鱼URL

谷歌浏览器Chrome浏览器扩展程序通过机器学习算法识别可疑的仿冒URL，该扩展程序已于 9月在黑帽亚洲展会上亮相。

Sharkcop由一组越南大学生开发，可根据对SSL证书，URL长度，域年龄和重定向次数的分析，区分钓鱼URL和合法域。

这些变量由支持向量机（Support Vector Machine）进行评估，这是一种相对简单的机器学习算法，可以以极高的准确性执行回归和分类任务。

Vulmap 通过CVE映射漏洞扫描程序帮助特权升级

Vulmap也是今年在Black Hat Asia上推出的一种黑客工具，旨在通过利用已知的安全漏洞来帮助提升特权。

Vulmap是一个开源项目，其中包含一个在线本地漏洞扫描程序，用于扫描Windows和Linux系统。

除了在localhost上发现漏洞外，它还显示有关漏洞的信息，包括CVE编号和风险评分，以及如果存在漏洞的相关漏洞利用ID和漏洞标题。

Ghunt OSINT工具 查找Google用户的帐户信息

开源工具可让安全团队探索由Google帐户创建的数据，该工具已于10月发布。

GHunt仅根据电子邮件地址来描述Google用户的足迹。利用此信息，该工具可以确定帐户所有者的姓名和Google ID，YouTube频道以及有效的Google服务（包括照片和地图）。

还可以确定与此类帐户关联的元数据，例如电话型号和用于上传照片的设备的软件版本。

ReNgine 在线测试人员的信息收集过程自动化

现在，使用Web应用程序的安全团队可以使用开源侦查工具进行枚举并帮助运行渗透测试。

ReNgine是一个侦查框架，可与其他工具一起使用来扫描域，列出端点和搜索目录。

令人反感的安全专业人员可以使用该工具创建一个管道，该管道将来自扫描引擎的更复杂的查询汇总在一起，并在单个窗口中显示结果。

AttackForge 简化了安全测试流程

一个渗透测试，旨在促进整个协作平台DevSecOps过程在黑帽安全欧洲大会本月初证实。

AttackForge是一个笔测试管理和协作平台，旨在促进大型和小型组织的安全测试。

尽管市场上已经有“优质产品”，但联合创始人Fil Filiposki表示，AttackForge包含的协作功能使该平台与其他产品区分开。