The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Yahoo представила Gryffin, открытый сканер безопасности для Web-приложений

27.09.2015 10:13

Компания Yahoo открыла исходные тексты платформы Gryffin, предназначенной для проведения всесторонних проверок безопасности в Web, охватывающих различные аспекты работы web-приложений. Gryffin характеризуется гибкими средствами тестирования и горизонтальной масштабируемостью, позволяющей с минимальными усилиями перейти от системы для тестирования тысячи web-приложений к конфигурации для проверки 100 тысяч программ. Платформа рассчитана в первую очередь на проверку современных web-приложений, динамически генерирующих контент на стороне клиента силами JavaScript.

В процессе работы Gryffin пытается собрать как можно больше данных о поведении приложении и режимах его работы, сочетая использование поискового бота и различных техник fuzzing-тестирования. Интегрированный поисковый движок позволяет оттолкнувшись от заданного для проверки URL выявить миллионы реальных комбинаций запросов, охватывающих различные режимы работы web-приложения. Fuzzing-тестирование позволяет сгенерировать нетипичные варианты обращения к приложению. Gryffin корректно обрабатывает дубликаты (проверяется повторяемость структуры результирующего документа для отсеивания повторных проверок типовых генераторов контента) и учитывает динамическую генерацию интерфейса для чего используется встроенный браузерный движок PhantomJS, применяемый для симуляции отрисовки DOM при выполнении JavaScript.

Исходные тексты написаны на языке Go и поставляются под лицензией BSD. В платформе задействованы фреймворк PhantomJS (обособленный JavaScript-движок на базе WebKit), Sqlmap (для выявления уязвимостей, связанных с подстановкой запросов SQL), Arachni (для fuzzing-тестирования наличия XSS и прочих уязвимостей), NSQ (шина обмена сообщениями), Kibana и Elastic search (для формирования web-интерфейса для оценки результатов сканирования и аналитики). Поддерживается подключение собственных инструментов тестирования безопасности.

Из планов на будущее отмечается поддержка симуляции мобильного браузера, создание преднастроенного docker-образа для быстрого развёртывания Gryffin, возможность использования СУБД Redis как общего хранилища статистики для распределённых на несколько серверов конфигураций, подготовка документации, улучшение обработки Cookie, выявление дубликатов шаблонов URL на основе оценки приблизительного сходства при помощи алгоритма simhash.

  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43048-gryffin
Ключевые слова: gryffin, scan, securiy
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (5) RSS
  • 1.2, Зенитарка (?), 11:02, 27/09/2015 [ответить]  
  • +16 +/
    То есть микрософт представил. Безопасность, говорите? :)
     
     
  • 2.8, имя (?), 13:18, 28/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот Yahoo — это не только мелкомягкий поиск, но ещё и почта, Flickr, Tumblr, Answers, ну и новостной агрегатор до кучи, и ко всему этому микрософт явно имеет в лучшем случае опосредованное отношение.
     

  • 1.7, Аноним (-), 11:04, 28/09/2015 [ответить]  
  • +/
    Как этой штукой пользоваться?
     
     
  • 2.9, qwerty (??), 14:44, 28/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Один из вариантов
    1) https://golang.org/doc/install
    затем
    2)
    cat 11.sh
    #!/bin/bash

    cd ~
    mkdir gryffin
    cd gryffin
    echo 'OLDGOPATH=$GOPATH;export GOPATH='pwd';go get github.com/yahoo/gryffin/...; export GOPATH=$OLDGOPATH' > install.sh
    chmod 755 install.sh
    ./install.sh

     

  • 1.10, лин (?), 12:59, 15/10/2015 [ответить]  
  • +/
    все же интересно, как расшифровать полученные результаты.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру