URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104901
[ Назад ]

Исходное сообщение
"Yahoo представил Gryffin, открытый сканер безопасности для W..."

Отправлено opennews , 27-Сен-15 10:42 
Компания Yahoo открыла исходные тексты платформы Gryffin (https://github.com/yahoo/gryffin), предназначенной для проведения всесторонних проверок безопасности в Web, охватывающих различные аспекты работы web-приложений.  Gryffin характеризуется гибкими средствами тестирования и горизонтальной масштабируемостью, позволяющей с минимальными усилиями перейти от системы для тестирования тысячи web-приложений к конфигурации для проверки 100 тысяч программ. Платформа рассчитана в первую очередь на проверку современных web-приложений, динамически генерирующих контент на стороне клиента силами JavaScript.


В процессе работы  Gryffin пытается собрать как можно больше данных о поведении приложении и режимах его работы, сочетая использование поискового бота и  различных техник fuzzing-тестирования. Интегрированный поисковый движок позволяет оттолкнувшись о заданного для проверки URL выявить миллионы реальных комбинаций запросов, охватывающих различные режимы работы web-приложения. Fuzzing-тестирование позволяет сгенерировать нетипичные варианты обращения к приложению. Gryffin корректно обрабатывает дубликаты (проверяется повторяемость структуры результирующего документа для отсеивания повторных проверок типовых генераторов контента) и учитывает динамическую генерацию интерфейса для чего используется встроенный браузерный движок PhantomJS, применяемый для симуляции отрисовки DOM при выполнении JavaScript.

Исходные тексты написаны (https://github.com/yahoo/gryffin) на языке Go и поставляются под лицензией BSD. В платформе задействованы фреймворк PhantomJS (http://phantomjs.org/) (обособленный JavaScript-движок на базе WebKit), Sqlmap (http://sqlmap.org/) (для выявления уязвимостей, связанных с подстановкой запросов SQL), Arachni (http://www.arachni-scanner.com/) (для fuzzing-тестирования наличия XSS и прочих уязвимостей), NSQ (шина обмена сообщениями), Kibana (https://www.elastic.co/products/kibana) и  Elastic search (https://www.elastic.co/) (для формирования web-интерфейса для оценки результатов сканирования и аналитики). Поддерживается подключение собственных инструментов тестирования безопасности.


Из планов на будущее отмечается поддержка симуляции мобильного браузера, создание преднастроенного docker-образа для быстрого развёртывания Gryffin, возможность использования СУБД Redis как общего хранилища статистики для распределённых на несколько серверов конфигураций, подготовка документации, улучшение обработки Cookie, выявление дубликатов шаблонов URL на основе оценки приблизительного сходства при помощи алгоритма simhash (http://www.cs.princeton.edu/courses/archive/spring04/cos598B...).

URL: http://www.theregister.co.uk/2015/09/25/yahooii_gitsii_webii.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43048


Содержание

Сообщения в этом обсуждении
"Yahoo представил Gryffin, открытый сканер безопасности для W..."
Отправлено Зенитарка , 27-Сен-15 11:02 
То есть микрософт представил. Безопасность, говорите? :)

"Yahoo представил Gryffin, открытый сканер безопасности для W..."
Отправлено имя , 28-Сен-15 13:18 
Только вот Yahoo — это не только мелкомягкий поиск, но ещё и почта, Flickr, Tumblr, Answers, ну и новостной агрегатор до кучи, и ко всему этому микрософт явно имеет в лучшем случае опосредованное отношение.

"Yahoo представил Gryffin, открытый сканер безопасности для W..."
Отправлено Аноним , 28-Сен-15 11:04 
Как этой штукой пользоваться?

"Yahoo представил Gryffin, открытый сканер безопасности для W..."
Отправлено qwerty , 28-Сен-15 14:44 
Один из вариантов
1) https://golang.org/doc/install
затем
2)
cat 11.sh
#!/bin/bash

cd ~
mkdir gryffin
cd gryffin
echo 'OLDGOPATH=$GOPATH;export GOPATH=`pwd`;go get github.com/yahoo/gryffin/...; export GOPATH=$OLDGOPATH' > install.sh
chmod 755 install.sh
./install.sh


"Компания Yahoo представила Gryffin, открытый сканер безопасн..."
Отправлено лин , 15-Окт-15 12:59 
все же интересно, как расшифровать полученные результаты.