开源Web应用程序安全扫描器雅虎开源了Gryffin,一个Web应用程序安全扫描器。Gryffin本质上是一个结合了Go和JavaScript的平台,可帮助系统管理员扫描URL中的恶意Web内容和常见的安全漏洞,包括SQL注入和跨站点脚本(XSS)。Gryffin功能和架构目前的Gryffin还是beta版本,Gryffin项目已经在Github上了。与雅虎大量其他开源项目使用的许可证一样,Gryffin也使用BSD风格的许可证。Gryffin本质上是一个结合了Go和JavaScript的平台,可帮助系统管理员扫描URL中的恶意Web内容和常见的安全漏洞,包括SQL注入和跨站点脚本(XSS)。雅虎将Gryffin描述为一个大型的网络安全扫描平台,而不仅仅是一个扫描器,它旨在解决两个具体的问题:1.Coverage2.Scale显然,scale意味着庞大的Web,而Coverage有两个维度:Crawl和Fuzzing.爬虫的功能是尽可能多地找到Web应用程序的踪迹,而模糊测试涉及针对一组漏洞测试应用程序组件的每个部分。Gryffin的爬虫用于搜索“数百万个URL”,其中一个URL的单个模板可能会推动这项工作。此外,Crawler包括一个重复数据删除引擎,用于将现有页面与新页面进行比较,从而避免对同一页面进行两次爬取。Gryffin的Crawler还包括PhantomJS,它处理客户端JavaScript应用程序中DOM的呈现。Gryffin的必备条件Gryffin需要的条件和环境如下:1、Go2、PhantomJSv23、NSQ分布式消息系统4、Sqlmap,用于SQL注入fuzzing***rachni,用于XSS和Web漏洞的fuzzing6、Kibana和ElasticSearchfordashboards除了雅虎,许多大公司都发布了自己的web应用程序漏洞扫描器,为用户提供更安全的互联网体验。今年2月,谷歌发布了自己的免费网络应用程序漏洞扫描工具“GoogleCloudSecurityScanner”,可以扫描开发者在云平台上的应用程序,更有效地找出哪里存在常见的安全漏洞。
