Yahoo! открыла код Gryffin для массового сканирования безопасности веб-приложений

Интернет-компания Yahoo! опубликовала исходный код Gryffin — «платформы для крупномасштабного сканирования веб-страниц на предмет безопасности».

Gryffin имеет встроенный механизм для обхода всех страниц веб-сайта (crawler), который сам идентифицирует страницы-дубликаты (одинаковый контент по разным ссылкам) и применяет PhantomJS для полноценной обработки всех ссылок (с участием кода на JavaScript). Gryffin не имеет своих модулей для проверки конкретных уязвимостей и позиционируется как платформа для сканирования, предоставляя возможность использовать для этих целей сторонние (уже существующие) компоненты (fuzzers), в том числе и распространяемые под свободными лицензиями.

Логотип Yahoo! / Иллюстрация с сайта Logos.Wikia.Com

Важной особенностью Gryffin является изначальная ориентированность на большие масштабы — сканирование множества страниц. Платформа построена по модели издатель-подписчик, что обеспечивает горизонтальное масштабирование простым добавлением большего количества узлов издателей или подписчиков.

Код платформы Gryffin написан на языке программирования Go. Для демонстрационных целей система интегрирована с sqlmap (для поиска уязвимостей типа SQL injection) и arachni (для обнаружения межсайтового скриптинга XSS и других уязвимостей в веб). Кроме того, в продукте используется NSQ для очередей сообщений, а также Kibana и Elasticsearch для интерфейса. Исходный код распространяется на условиях свободной BSD-подобной лицензии и доступен на GitHub.

Дмитрий Шурупов по материалам theregister.co.uk.