雅虎開源了Web應用安全掃描器Gryffin。Gryffin本質上是一個Go和JavaScript的聯(lián)合平臺，它能夠幫助系統(tǒng)管理員掃描URL來查找惡意Web內容和常見的安全漏洞，包括SQL注入和跨站腳本(XSS)。

[[150739]]

Gryffin功能和架構

目前的Gryffin還是測試版，Gryffin項目在Github上已經可以獲得，與雅虎的其他大量開源項目所使用的許可證一樣，Gryffin使用的也是BSD風格的許可證。Gryffin本質上是一個Go和JavaScript的聯(lián)合平臺，它能夠幫助系統(tǒng)管理員掃描URL來查找惡意Web內容和常見的安全漏洞，包括SQL注入和跨站腳本(XSS)。

雅虎將Gryffin描述成一個大規(guī)模的網絡安全掃描平臺，而不僅僅是一個掃描器，它旨在解決兩個具體問題：

1、覆蓋(Coverage)

2、規(guī)模(Scale)

很明顯，規(guī)模(Scale)暗示著龐大的Web，而覆蓋(Coverage)則有兩個維度：Crawl(爬取)和Fuzzing。Crawl的功能是盡可能多地找到Web應用程序的蹤跡，而Fuzzing涉及到對漏洞應用集，測試應用程序組件的每個部分。Gryffin的Crawler用來搜索“數(shù)以百萬計的URL”，這可能是由其中一個URL的單個模板來驅動工作。

此外，Crawler還包括一個重復數(shù)據(jù)刪除引擎，用來將現(xiàn)有的一個頁面與一個新頁面進行比較，從而避免對同一個頁面爬取兩次。Gryffin的Crawler還包含PhantomJS，它用于在客戶端JavaScript應用程序中處理DOM的渲染。

Gryffin的必需條件

Gryffin所需要的條件和環(huán)境如下所示：

1、Go

2、PhantomJS v2

3、NSQ分布式消息傳遞系統(tǒng)

4、Sqlmap，用于fuzzing SQL注入

***rachni，用于fuzzing XSS和Web漏洞

6、Kibana和Elastic Search，用于儀表盤

除了雅虎，很多大公司都已經發(fā)布了他們自己的Web應用程序漏洞掃描器，以為用戶提供更安全的互聯(lián)網體驗。

在今年2月份，谷歌發(fā)布了自己的免費Web應用程序漏洞掃描器工具，該工具名為“谷歌云安全掃描器”，它能在云平臺上掃描開發(fā)者的應用程序，更有效地找出其中所存在的常見安全漏洞。