雅虎发布开源Web应用安全扫描器Gryffin

安全 数据安全
雅虎开源了Web应用安全扫描器Gryffin。Gryffin本质上是一个Go和JavaScript的联合平台,它能够帮助系统管理员扫描URL来查找恶意Web内容和常见的安全漏洞,包括SQL注入和跨站脚本(XSS)。

雅虎开源了Web应用安全扫描器Gryffin。Gryffin本质上是一个Go和JavaScript的联合平台,它能够帮助系统管理员扫描URL来查找恶意Web内容和常见的安全漏洞,包括SQL注入和跨站脚本(XSS)。

[[150739]]

Gryffin功能和架构

目前的Gryffin还是测试版,Gryffin项目在Github上已经可以获得,与雅虎的其他大量开源项目所使用的许可证一样,Gryffin使用的也是BSD风格的许可证。Gryffin本质上是一个Go和JavaScript的联合平台,它能够帮助系统管理员扫描URL来查找恶意Web内容和常见的安全漏洞,包括SQL注入和跨站脚本(XSS)。

雅虎将Gryffin描述成一个大规模的网络安全扫描平台,而不仅仅是一个扫描器,它旨在解决两个具体问题:

1、覆盖(Coverage)

2、规模(Scale)

很明显,规模(Scale)暗示着庞大的Web,而覆盖(Coverage)则有两个维度:Crawl(爬取)和Fuzzing。Crawl的功能是尽可能多地找到Web应用程序的踪迹,而Fuzzing涉及到对漏洞应用集,测试应用程序组件的每个部分。Gryffin的Crawler用来搜索“数以百万计的URL”,这可能是由其中一个URL的单个模板来驱动工作。

此外,Crawler还包括一个重复数据删除引擎,用来将现有的一个页面与一个新页面进行比较,从而避免对同一个页面爬取两次。Gryffin的Crawler还包含PhantomJS,它用于在客户端JavaScript应用程序中处理DOM的渲染。

Gryffin的必需条件

Gryffin所需要的条件和环境如下所示:

1、Go

2、PhantomJS v2

3、NSQ分布式消息传递系统

4、Sqlmap,用于fuzzing SQL注入

***rachni,用于fuzzing XSS和Web漏洞

6、Kibana和Elastic Search,用于仪表盘

除了雅虎,很多大公司都已经发布了他们自己的Web应用程序漏洞扫描器,以为用户提供更安全的互联网体验。

在今年2月份,谷歌发布了自己的免费Web应用程序漏洞扫描器工具,该工具名为“谷歌云安全扫描器”,它能在云平台上扫描开发者的应用程序,更有效地找出其中所存在的常见安全漏洞。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2011-02-17 18:51:10

2014-07-22 10:13:26

Netsparker漏洞扫描工具漏洞扫描

2016-05-13 17:07:00

Docker安全

2013-04-25 13:31:01

漏洞扫描器Nessus 5.2

2013-08-14 10:24:38

2010-08-02 09:00:00

2009-08-07 14:18:49

2015-10-13 14:03:15

2010-12-02 10:10:02

2016-08-17 09:18:11

2015-01-06 11:50:40

安全扫描器IBM Appscan

2019-01-31 11:01:57

2015-07-01 11:22:13

2021-12-27 12:08:30

漏洞网络安全GitHub

2011-01-11 10:29:46

2010-12-22 21:57:00

Angry IP Sc

2010-06-03 14:58:07

2010-11-28 15:40:37

2024-12-16 00:36:44

2015-11-11 14:08:07

点赞
收藏

51CTO技术栈公众号