雅虎發布開源Web應用安全掃描器Gryffin

雅虎開源了一個Web應用安全掃描器Gryffin，目的是為每個人提高Web的安全性。Gryffin本質上是一個Go和JavaScript的聯合平臺，它能夠幫助系統管理員掃描URL來查找惡意Web內容和常見的安全漏洞，包括SQL注入和跨站腳本（XSS）。

Gryffin功能和架構

目前的Gryffin還是測試版，Gryffin項目在 Github上 已經可以獲得，與雅虎的其他大量開源項目所使用的許可證一樣，Gryffin使用的也是BSD風格的許可證。Gryffin本質上是一個Go和 JavaScript的聯合平臺，它能夠幫助系統管理員掃描URL來查找惡意Web內容和常見的安全漏洞，包括SQL注入和跨站腳本（XSS）。雅虎將 Gryffin描述成一個大規模的網絡安全掃描平臺，而不僅僅是一個掃描器，它旨在解決兩個具體問題：

1、覆蓋（Coverage）
2、規模（Scale）

很明顯，規模（Scale）暗示著龐大的Web，而覆蓋（Coverage）則有兩個維度：Crawl（爬取）和Fuzzing。Crawl的功 能是盡可能多地找到Web應用程序的蹤跡，而Fuzzing涉及到對漏洞應用集，測試應用程序組件的每個部分。Gryffin的Crawler用來搜索 “數以百萬計的URL”，這可能是由其中一個URL的單個模板來驅動工作。

此外，Crawler還包括一個重復數據刪除引擎，用來將現有的一個頁面與一個新頁面進行比較，從而避免對同一個頁面爬取兩次。Gryffin的Crawler還包含PhantomJS，它用于在客戶端JavaScript應用程序中處理DOM的渲染。

Gryffin的必需條件

Gryffin所需要的條件和環境如下所示：

1、Go
2、PhantomJS v2
3、NSQ分布式消息傳遞系統
4、Sqlmap，用于fuzzing SQL注入
5、Arachni，用于fuzzing XSS和Web漏洞
6、Kibana和Elastic Search，用于儀表盤

除了雅虎，很多大公司都已經發布了他們自己的Web應用程序漏洞掃描器，以為用戶提供更安全的互聯網體驗。

在今年2月份，谷歌發布了自己的免費Web應用程序漏洞掃描器工具，該工具名為“ 谷歌云安全掃描器 ”，它能在云平臺上掃描開發者的應用程序，更有效地找出其中所存在的常見安全漏洞。

*參考來源： thehackernews ，轉載請注明來自FreeBuf黑客與極客（FreeBuf.com）