Компания Yahoo открыла исходные тексты платформы Gryffin (https://github.com/yahoo/gryffin), предназначенной для проведения всесторонних проверок безопасности в Web, охватывающих различные аспекты работы web-приложений. Gryffin характеризуется гибкими средствами тестирования и горизонтальной масштабируемостью, позволяющей с минимальными усилиями перейти от системы для тестирования тысячи web-приложений к конфигурации для проверки 100 тысяч программ. Платформа рассчитана в первую очередь на проверку современных web-приложений, динамически генерирующих контент на стороне клиента силами JavaScript.
В процессе работы Gryffin пытается собрать как можно больше данных о поведении приложении и режимах его работы, сочетая использование поискового бота и различных техник fuzzing-тестирования. Интегрированный поисковый движок позволяет оттолкнувшись о заданного для проверки URL выявить миллионы реальных комбинаций запросов, охватывающих различные режимы работы web-приложения. Fuzzing-тестирование позволяет сгенерировать нетипичные варианты обращения к приложению. Gryffin корректно обрабатывает дубликаты (проверяется повторяемость структуры результирующего документа для отсеивания повторных проверок типовых генераторов контента) и учитывает динамическую генерацию интерфейса для чего используется встроенный браузерный движок PhantomJS, применяемый для симуляции отрисовки DOM при выполнении JavaScript.Исходные тексты написаны (https://github.com/yahoo/gryffin) на языке Go и поставляются под лицензией BSD. В платформе задействованы фреймворк PhantomJS (http://phantomjs.org/) (обособленный JavaScript-движок на базе WebKit), Sqlmap (http://sqlmap.org/) (для выявления уязвимостей, связанных с подстановкой запросов SQL), Arachni (http://www.arachni-scanner.com/) (для fuzzing-тестирования наличия XSS и прочих уязвимостей), NSQ (шина обмена сообщениями), Kibana (https://www.elastic.co/products/kibana) и Elastic search (https://www.elastic.co/) (для формирования web-интерфейса для оценки результатов сканирования и аналитики). Поддерживается подключение собственных инструментов тестирования безопасности.
Из планов на будущее отмечается поддержка симуляции мобильного браузера, создание преднастроенного docker-образа для быстрого развёртывания Gryffin, возможность использования СУБД Redis как общего хранилища статистики для распределённых на несколько серверов конфигураций, подготовка документации, улучшение обработки Cookie, выявление дубликатов шаблонов URL на основе оценки приблизительного сходства при помощи алгоритма simhash (http://www.cs.princeton.edu/courses/archive/spring04/cos598B...).URL: http://www.theregister.co.uk/2015/09/25/yahooii_gitsii_webii.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43048
То есть микрософт представил. Безопасность, говорите? :)
Только вот Yahoo — это не только мелкомягкий поиск, но ещё и почта, Flickr, Tumblr, Answers, ну и новостной агрегатор до кучи, и ко всему этому микрософт явно имеет в лучшем случае опосредованное отношение.
Как этой штукой пользоваться?
Один из вариантов
1) https://golang.org/doc/install
затем
2)
cat 11.sh
#!/bin/bashcd ~
mkdir gryffin
cd gryffin
echo 'OLDGOPATH=$GOPATH;export GOPATH=`pwd`;go get github.com/yahoo/gryffin/...; export GOPATH=$OLDGOPATH' > install.sh
chmod 755 install.sh
./install.sh
все же интересно, как расшифровать полученные результаты.