Yahoo! vient de lancer un outil de scanner de sécurité Web open-source nommé Project Gryffin (Web Security Scanner). Le but est d’améliorer la sécurité du Web pour tout le monde. Actuellement dans sa version bêta, Projet Gryffin est rendu disponible sur Github sous la licence BSD que Yahoo! utilise depuis un certain nombre dans ses projets open-source.
Projet Gryffin est essentiellement une plate-forme basée sur le JavaScript, qui aide les administrateurs système a scanner les adresses URL pour tester du contenu Web malveillant et des vulnérabilités de sécurité communes, y compris les injections SQL (SQLi) et les failles Cross-Site Scripting (XSS). Yahoo! décrit Gryffin comme une plateforme de sécurité Web à grande échelle, ce qui est plus que juste un scanner, car il est conçu pour répondre à deux problèmes spécifiques, à savoir, la couverture et l’échelle.
L’échelle est évidemment implicite pour les grands acteurs du Web, tandis que la couverture a deux dimensions, le crawl et le fuzzing. La capacité de crawl est de trouver autant d’empreinte que possible au sein de l’application Web, tandis que le fuzzing consiste à tester chaque partie des composants de l’application pour un ensemble appliqué de vulnérabilités.
Le crawler de Gryffin est conçu pour rechercher “des millions d’URL“, qui pourraient être trouvés par un modèle unique à partir d’une seule URL de départ. En outre, le robot comprend également un moteur de dé-duplication pour comparer une nouvelle page avec une existante et permettant ainsi d’éviter d’analyser la même page deux fois. LecCrawler Gryffin utilise également PhantomJS, afin de gérer les DOM rendu en JavaScript côté client des applications.
Les dépendances de Gryffin sont énumérés ci-dessous :
- Go + JavaScript
- PhantomJS v2
- Le système de messagerie distribué NSQ
- Sqlmap pour le fuzzing SQLi
- Arachni pour le fuzzing XSS et les vulnérabilités Web
- Kibana pour les tableaux de bord de recherche
En outre, de nombreuses grandes entreprises du Web autre que Yahoo ont publié leurs propres scanners de vulnérabilité d’applications Web pour rendre l’expérience Internet plus sécuritaire pour l’ensemble des usagers.
En février, Google a publié son propre outil de scan de vulnérabilité d’applications Web gratuit, baptisé Google Cloud Security Scanner, qui scanne les applications des développeurs pour débusquer les potentielles vulnérabilités de sécurité communes, le tout, en sa basant efficacement sur sa plate-forme cloud. Pour accéder au code source de Project Gryffin, c’est par ici sur GitHub.
Les commentaires sont fermés.