在今年2月份，谷歌針對(duì)云計(jì)算領(lǐng)域發(fā)布了一款名為“Google Cloud Security Scanner”（谷歌云安全掃描器）的工具軟件，該產(chǎn)品可以更高效地在其云平臺(tái)上掃描安全漏洞。隨著互聯(lián)網(wǎng)安全的重要性和技術(shù)基礎(chǔ)不斷升級(jí)，許多公司都相繼在此方面投入。

雷鋒網(wǎng)獲悉，日前雅虎也開(kāi)源了一款測(cè)試版的安全掃描器Gryffin，據(jù)悉，該項(xiàng)目是針對(duì)Web應(yīng)用的。目前已經(jīng)可以在Github上獲得。

據(jù)介紹，Gryffin實(shí)際上相當(dāng)于一個(gè)Go和JavaScript的聯(lián)合平臺(tái)，主要功能是幫助系統(tǒng)管理員掃描URL來(lái)查找惡意Web內(nèi)容和常見(jiàn)的安全漏洞，范圍與其他安全掃描器類似，包括SQL注入和跨站腳本（XSS）。

不過(guò)，據(jù)雅虎官方描述，該公司研發(fā)的Gryffin不僅僅是一個(gè)掃描器，而更像是一個(gè)大規(guī)模的網(wǎng)絡(luò)安全掃描平臺(tái)，它主要是為了解決“規(guī)?！焙汀案采w”兩個(gè)具體問(wèn)題。

具體來(lái)說(shuō)，“規(guī)?！笔侵庚嫶蟮腤eb互聯(lián)網(wǎng)，而“覆蓋”則包含兩個(gè)意義：爬?。–rawl）和發(fā)掘Fuzzing。爬取的功能是盡可能多地找到Web應(yīng)用程序的蹤跡，比如Gryffin的Crawler用來(lái)搜索“數(shù)以百萬(wàn)計(jì)的URL”；而Fuzzing則負(fù)責(zé)測(cè)試應(yīng)用程序組件的每個(gè)部分。

據(jù)悉，Crawler還包括一個(gè)重復(fù)數(shù)據(jù)刪除引擎，它可以將一個(gè)新爬取的頁(yè)面與已有頁(yè)面與進(jìn)行比較，從而避免對(duì)同一個(gè)頁(yè)面爬取兩次。除此之外，Gryffin的Crawler還包含PhantomJS，它用于在客戶端JavaScript應(yīng)用程序中處理DOM的渲染。

與雅虎的其他大量開(kāi)源項(xiàng)目所使用的許可證一樣，Gryffin使用的也是BSD風(fēng)格的許可證。運(yùn)行具體需要以下的條件和環(huán)境：

1、Go

2、PhantomJS v2

3、NSQ分布式消息傳遞系統(tǒng)

4、Sqlmap，用于fuzzing SQL注入

5、Arachni，用于fuzzing XSS和Web漏洞

6、Kibana和Elastic Search，用于儀表盤

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。