2013黑帽大会：五款值得一看的黑客工具

ZDNET安全频道 07月18日 编译：

最新的黑客工具可以应对热门威胁

2013年的黑帽大会将于7月27日到8月1日期间在拉斯维加斯召开。在即将到来的2013黑帽安全大会上，安全研究者们将会介绍一些黑客工具。这些工具可以解决的问题从恶意软件分析到漏洞查找利用不等。但是其中只有少数工具可以帮助安全专家们做钓鱼攻击的培训，在没有电子表或重量级监控风险服从的情况下管理日常风险活动或是帮助企业获得更多优势。这些工具将会在今年的黑帽大会上亮相。下面是五款值得一看的黑客工具。

1. Ice-Hole

Ice-Hole是一款新型钓鱼培训工具，安全分析师和系统管理员可利用这款工具测试用户和日程表钓鱼邮件。当用户点击到用于训练的钓鱼邮件时，该工具可进行追踪。如果追踪的链接被用户点击，那么用户会被导向一个训练页面。它会注册训练所用的IP地址，邮件和钓鱼模板。这款工具由Darren Manners创建，作为SyCom科技公司的渗透测试骨干，他认为，第三方开源工具可以增强Ice-Hole的功能。

2. HyperText Access Exploit

HyperText Access Exploit是一款开源工具，可用于绕开限制，并在Web应用服务器上寻找额外的漏洞。它会利用.htaccess文件（可通过验证进程保护Web目录的配置文件）的弱点。该工具会列出受保护目录的内容。此工具由Matias Katz和Maximilliano Soler共同开发，前者是Mkit Argentina渗透测试员及创立者，后者是一家国际银行的安全分析师。

3.Smartphone Pentest Framework

Smartphone Pentest Framework是利用Defense Advanced Research Projects Agency的Cyber Fast Track专款开发的工具。这款开源工具旨在让渗透测试员对所在环境中的设备执行远程或社工攻击来掌握智能手机的安全态势。该工具由Bulb Security CEO Georgia Weidman制作，且已经得到扩展，可以支持其他的攻击技巧和其他第三方渗透工具。

4. SocialKlepto

企业借助SocialKlepto可以用虚拟社交账号，自动化的公共数据库搜索和数据分析监控竞争对手的社交活动，从而收集对方的商业情报。这款工具套在2013年度的RSA大会上首次亮相过，当时是由梭子鱼网络公司的Jason Ding推荐的。此系统可帮助企业创造诱饵或是虚假的LinkedIn账户或是欺骗性质的Facebook账户，目的是监控竞争对手的社交关系。

Ding还将介绍如何防止窃听的方法，包括为管理LinkedIn隐私设置而新创建的Chrome插件。

5. SimpleRisk

SimpleRisk是一款开源工具，它可以帮助安全专家们管控存在风险的管理行为。适合那些没钱购买监控，风险和服从软件的公司使用。它可以取代那些常被用于组织数据和做风险决策的电子表格。SimpleRisk向用户呈现了一个风险管理控制面板，上面显示了系统，团队和安全技术的状态以及正在进行中的风险化解项目。一个开放风险的屏幕会按照安全策略和其他要素对风险进行分类。这款工具由安全研究员Josh Sokol制作，他是National Instruments信息安全项目的所有者。