Компания Yahoo! открыла исходный код сканера Gryffin, предназначенного для всесторонней проверки веб-приложений на безопасность.

На данный момент проект Gryffin находится в стадии бета-теста, и его код теперь полностью доступен на GitHub под BSD лицензией, которую Yahoo! обычно использует для таких случаев.  Сканер базируется на Go и JavaScript и призван помочь тестировщикам и системным администраторам в нелегком деле поиска уязвимостей. Сканируя URL на предмет вредоносного контента, Gryffin также умеет находить распространенные уязвимости, вроде SQL инъекций или XSS.

Yahoo! описывает свою платформу, как легко масштабируемое решение, при создании которого упор делался на две вещи – масштаб и покрытие. Масштаб подразумевает под собой всю необъятность веба, ведь Gryffin создан для работы с миллионами URL. А покрытие отвечает за сбор данных даже о самых мелких проблемах, в том числе, методом fuzzing-тестирования, обеспечивающего самые нетипичные варианты обращения к приложениям.

Краулер корректно работает с дубликатами, то есть не сканирует одни и те же страницы несколько раз, вместо этого он предварительно сравнивает их содержимое. Кроме того Gryffin использует PhantomJS для работы с DOM и ренедеринга JavaScript-приложений на стороне клиента.

Также платформа поддерживает шину NSQ, Sqlmap, Arachni, Kibana, Elastic search и предполагает подключение собственных инструментов для тестирования.

Фото: codepo8@flickr

Оставить мнение