雅虎开源了Web应用安全扫描器Gryffin

在今年2月份，谷歌针对云计算领域发布了一款名为“Google Cloud Security Scanner”（谷歌云安全扫描器）的工具软件，该产品可以更高效地在其云平台上扫描安全漏洞。随着互联网安全的重要性和技术基础不断升级，许多公司都相继在此方面投入。

雷锋网获悉，日前雅虎也开源了一款测试版的安全扫描器Gryffin，据悉，该项目是针对Web应用的。目前已经可以在Github上获得。

据介绍，Gryffin实际上相当于一个Go和JavaScript的联合平台，主要功能是帮助系统管理员扫描URL来查找恶意Web内容和常见的安全漏洞，范围与其他安全扫描器类似，包括SQL注入和跨站脚本（XSS）。

不过，据雅虎官方描述，该公司研发的Gryffin不仅仅是一个扫描器，而更像是一个大规模的网络安全扫描平台，它主要是为了解决“规模”和“覆盖”两个具体问题。

具体来说，“规模”是指庞大的Web互联网，而“覆盖”则包含两个意义：爬取（Crawl）和发掘Fuzzing。爬取的功能是尽可能多地找到Web应用程序的踪迹，比如Gryffin的Crawler用来搜索“数以百万计的URL”；而Fuzzing则负责测试应用程序组件的每个部分。

据悉，Crawler还包括一个重复数据删除引擎，它可以将一个新爬取的页面与已有页面与进行比较，从而避免对同一个页面爬取两次。除此之外，Gryffin的Crawler还包含PhantomJS，它用于在客户端JavaScript应用程序中处理DOM的渲染。

与雅虎的其他大量开源项目所使用的许可证一样，Gryffin使用的也是BSD风格的许可证。运行具体需要以下的条件和环境：

1、Go

2、PhantomJS v2

3、NSQ分布式消息传递系统

4、Sqlmap，用于fuzzing SQL注入

5、Arachni，用于fuzzing XSS和Web漏洞

6、Kibana和Elastic Search，用于仪表盘

雷峰网原创文章，未经授权禁止转载。详情见转载须知。