The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Yahoo представил Gryffin, открытый сканер безопасности для W..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Yahoo представил Gryffin, открытый сканер безопасности для W..."  +/
Сообщение от opennews on 27-Сен-15, 10:42 
Компания Yahoo открыла исходные тексты платформы Gryffin (https://github.com/yahoo/gryffin), предназначенной для проведения всесторонних проверок безопасности в Web, охватывающих различные аспекты работы web-приложений.  Gryffin характеризуется гибкими средствами тестирования и горизонтальной масштабируемостью, позволяющей с минимальными усилиями перейти от системы для тестирования тысячи web-приложений к конфигурации для проверки 100 тысяч программ. Платформа рассчитана в первую очередь на проверку современных web-приложений, динамически генерирующих контент на стороне клиента силами JavaScript.


В процессе работы  Gryffin пытается собрать как можно больше данных о поведении приложении и режимах его работы, сочетая использование поискового бота и  различных техник fuzzing-тестирования. Интегрированный поисковый движок позволяет оттолкнувшись о заданного для проверки URL выявить миллионы реальных комбинаций запросов, охватывающих различные режимы работы web-приложения. Fuzzing-тестирование позволяет сгенерировать нетипичные варианты обращения к приложению. Gryffin корректно обрабатывает дубликаты (проверяется повторяемость структуры результирующего документа для отсеивания повторных проверок типовых генераторов контента) и учитывает динамическую генерацию интерфейса для чего используется встроенный браузерный движок PhantomJS, применяемый для симуляции отрисовки DOM при выполнении JavaScript.

Исходные тексты написаны (https://github.com/yahoo/gryffin) на языке Go и поставляются под лицензией BSD. В платформе задействованы фреймворк PhantomJS (http://phantomjs.org/) (обособленный JavaScript-движок на базе WebKit), Sqlmap (http://sqlmap.org/) (для выявления уязвимостей, связанных с подстановкой запросов SQL), Arachni (http://www.arachni-scanner.com/) (для fuzzing-тестирования наличия XSS и прочих уязвимостей), NSQ (шина обмена сообщениями), Kibana (https://www.elastic.co/products/kibana) и  Elastic search (https://www.elastic.co/) (для формирования web-интерфейса для оценки результатов сканирования и аналитики). Поддерживается подключение собственных инструментов тестирования безопасности.


Из планов на будущее отмечается поддержка симуляции мобильного браузера, создание преднастроенного docker-образа для быстрого развёртывания Gryffin, возможность использования СУБД Redis как общего хранилища статистики для распределённых на несколько серверов конфигураций, подготовка документации, улучшение обработки Cookie, выявление дубликатов шаблонов URL на основе оценки приблизительного сходства при помощи алгоритма simhash (http://www.cs.princeton.edu/courses/archive/spring04/cos598B...).

URL: http://www.theregister.co.uk/2015/09/25/yahooii_gitsii_webii.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=43048

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Yahoo представил Gryffin, открытый сканер безопасности для W..."  +16 +/
Сообщение от Зенитарка on 27-Сен-15, 11:02 
То есть микрософт представил. Безопасность, говорите? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Yahoo представил Gryffin, открытый сканер безопасности для W..."  +/
Сообщение от имя on 28-Сен-15, 13:18 
Только вот Yahoo — это не только мелкомягкий поиск, но ещё и почта, Flickr, Tumblr, Answers, ну и новостной агрегатор до кучи, и ко всему этому микрософт явно имеет в лучшем случае опосредованное отношение.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Yahoo представил Gryffin, открытый сканер безопасности для W..."  +/
Сообщение от Аноним (??) on 28-Сен-15, 11:04 
Как этой штукой пользоваться?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Yahoo представил Gryffin, открытый сканер безопасности для W..."  +/
Сообщение от qwerty (??) on 28-Сен-15, 14:44 
Один из вариантов
1) https://golang.org/doc/install
затем
2)
cat 11.sh
#!/bin/bash

cd ~
mkdir gryffin
cd gryffin
echo 'OLDGOPATH=$GOPATH;export GOPATH=`pwd`;go get github.com/yahoo/gryffin/...; export GOPATH=$OLDGOPATH' > install.sh
chmod 755 install.sh
./install.sh

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Компания Yahoo представила Gryffin, открытый сканер безопасн..."  +/
Сообщение от лин email on 15-Окт-15, 12:59 
все же интересно, как расшифровать полученные результаты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру