在今年2月份,谷歌针对云计算领域发布了一款名为“Google Cloud Security Scanner”(谷歌云安全扫描器)的工具软件,该产品可以更高效地在其云平台上扫描安全漏洞。随着互联网安全的重要性和技术基础不断升级,许多公司都相继在此方面投入。
雷锋网获悉,日前雅虎也开源了一款测试版的安全扫描器Gryffin,据悉,该项目是针对Web应用的。目前已经可以在Github上获得。
据介绍,Gryffin实际上相当于一个Go和JavaScript的联合平台,主要功能是帮助系统管理员扫描URL来查找恶意Web内容和常见的安全漏洞,范围与其他安全扫描器类似,包括SQL注入和跨站脚本(XSS)。
不过,据雅虎官方描述,该公司研发的Gryffin不仅仅是一个扫描器,而更像是一个大规模的网络安全扫描平台,它主要是为了解决“规模”和“覆盖”两个具体问题。
具体来说,“规模”是指庞大的Web互联网,而“覆盖”则包含两个意义:爬取(Crawl)和发掘Fuzzing。爬取的功能是尽可能多地找到Web应用程序的踪迹,比如Gryffin的Crawler用来搜索“数以百万计的URL”;而Fuzzing则负责测试应用程序组件的每个部分。
据悉,Crawler还包括一个重复数据删除引擎,它可以将一个新爬取的页面与已有页面与进行比较,从而避免对同一个页面爬取两次。除此之外,Gryffin的Crawler还包含PhantomJS,它用于在客户端JavaScript应用程序中处理DOM的渲染。
与雅虎的其他大量开源项目所使用的许可证一样,Gryffin使用的也是BSD风格的许可证。运行具体需要以下的条件和环境:
1、Go
2、PhantomJS v2
3、NSQ分布式消息传递系统
4、Sqlmap,用于fuzzing SQL注入
5、Arachni,用于fuzzing XSS和Web漏洞
6、Kibana和Elastic Search,用于仪表盘