雅虎发布开源Web应用安全扫描器Gryffin

浮尘 · 发表于 2015-9-27 14:34:25

雅虎开源了一个Web应用安全扫描器Gryffin，目的是为每个人提高Web的安全性。Gryffin本质上是一个Go和JavaScript的联合平台，它能够帮助系统管理员扫描URL来查找恶意Web内容和常见的安全漏洞，包括SQL注入和跨站脚本（XSS）。

Gryffin功能和架构

目前的Gryffin还是测试版，Gryffin项目在Github上已经可以获得，与雅虎的其他大量开源项目所使用的许可证一样，Gryffin使用的也是BSD风格的许可证。Gryffin本质上是一个Go和JavaScript的联合平台，它能够帮助系统管理员扫描URL来查找恶意Web内容和常见的安全漏洞，包括SQL注入和跨站脚本（XSS）。雅虎将Gryffin描述成一个大规模的网络安全扫描平台，而不仅仅是一个扫描器，它旨在解决两个具体问题：

1、覆盖（Coverage）
2、规模（Scale）
很明显，规模（Scale）暗示着庞大的Web，而覆盖（Coverage）则有两个维度：Crawl（爬取）和Fuzzing。Crawl的功能是尽可能多地找到Web应用程序的踪迹，而Fuzzing涉及到对漏洞应用集，测试应用程序组件的每个部分。Gryffin的Crawler用来搜索“数以百万计的URL”，这可能是由其中一个URL的单个模板来驱动工作。

此外，Crawler还包括一个重复数据删除引擎，用来将现有的一个页面与一个新页面进行比较，从而避免对同一个页面爬取两次。Gryffin的Crawler还包含PhantomJS，它用于在客户端JavaScript应用程序中处理DOM的渲染。

Gryffin的必需条件

Gryffin所需要的条件和环境如下所示：

1、Go
2、PhantomJS v2
3、NSQ分布式消息传递系统
4、Sqlmap，用于fuzzing SQL注入
5、Arachni，用于fuzzing XSS和Web漏洞
6、Kibana和Elastic Search，用于仪表盘
除了雅虎，很多大公司都已经发布了他们自己的Web应用程序漏洞扫描器，以为用户提供更安全的互联网体验。

在今年2月份，谷歌发布了自己的免费Web应用程序漏洞扫描器工具，该工具名为“谷歌云安全扫描器”，它能在云平台上扫描开发者的应用程序，更有效地找出其中所存在的常见安全漏洞。

xiaoqqf4 · 发表于 2015-9-28 18:46:55

还是不错的哦，顶了

cl476874045 · 发表于 2015-9-30 04:56:28

支持中国红客联盟(ihonker.org)

wtsqq123 · 发表于 2015-9-30 07:40:08

支持，看起来不错呢！

yusiii · 发表于 2015-9-30 12:33:29

感谢楼主的分享~

小龙 · 发表于 2015-10-1 02:13:46

感谢楼主的分享~

54hacker · 发表于 2015-10-1 09:07:58

支持中国红客联盟(ihonker.org)

fireworld · 发表于 2015-10-1 20:45:06

还是不错的哦，顶了

cl476874045 · 发表于 2015-10-2 02:16:40

perble · 发表于 2015-10-2 14:10:40

感谢楼主的分享~

雅虎发布开源Web应用安全扫描器Gryffin

相关帖子

指导单位

旗下站点

联系我们