雅虎開源了web應用安全掃描器gryffin。gryffin本質上是一個go和javascript的聯合平台,它能夠幫助系統管理者掃描url來查找惡意web内容和常見的安全漏洞,包括sql注入和跨站腳本(xss)。
gryffin功能和架構
目前的gryffin還是測試版,gryffin項目在github上已經可以獲得,與雅虎的其他大量開源項目所使用的許可證一樣,gryffin使用的也是bsd風格的許可證。gryffin本質上是一個go和javascript的聯合平台,它能夠幫助系統管理者掃描url來查找惡意web内容和常見的安全漏洞,包括sql注入和跨站腳本(xss)。
雅虎将gryffin描述成一個大規模的網絡安全掃描平台,而不僅僅是一個掃描器,它旨在解決兩個具體問題:
1、覆寫(coverage)
2、規模(scale)
很明顯,規模(scale)暗示着龐大的web,而覆寫(coverage)則有兩個次元:crawl(爬取)和fuzzing。crawl的功能是盡可能多地找到web應用程式的蹤迹,而fuzzing涉及到對漏洞應用集,測試應用程式元件的每個部分。gryffin的crawler用來搜尋“數以百萬計的url”,這可能是由其中一個url的單個模闆來驅動工作。
此外,crawler還包括一個重複資料删除引擎,用來将現有的一個頁面與一個新頁面進行比較,進而避免對同一個頁面爬取兩次。gryffin的crawler還包含phantomjs,它用于在用戶端javascript應用程式中處理dom的渲染。
gryffin的必需條件
gryffin所需要的條件和環境如下所示:
1、go
2、phantomjs v2
3、nsq分布式消息傳遞系統
4、sqlmap,用于fuzzing sql注入
5、arachni,用于fuzzing xss和web漏洞
6、kibana和elastic search,用于儀表盤
除了雅虎,很多大公司都已經釋出了他們自己的web應用程式漏洞掃描器,以為使用者提供更安全的網際網路體驗。
作者:jackfree
來源:51cto