Web安全扫描平台Gryffin
-
Gryffin 是雅虎开发的一个大规模 Web 安全扫描平台。它不是另外一个扫描器,其主要目的是为了解决两个特定的问题 —— 覆盖率和伸缩性。
该平台采用 Go 语言开发,依赖:Go;PhantomJS, v2;Sqlmap (for fuzzing SQLi);Arachni (for fuzzing XSS and web vulnerabilities);NSQ 。
安全扫描平台可实现的功能有:静态反编译:静态分析应用源代码中存在的安全风险,检测包含Android组件安全,应用程序安全,数据安全。动态检测:运行应用于安卓模拟器中,检测包含客户端自身安全,Android组件增强检测,应用通信安全,数据安全。
模拟人机交互:模拟用户和手机交互行为,检测交互过程中应用存在的通信安全风险。服务器指纹探测:探测后端服务器指纹,进行安全分析,检测后端服务器系统,开发框架,Web服务器,数据库等服务组件安全。
服务器后端API检测:抓取应用通信过程中的资源地址,检测应用与服务器通信接口是否存在SQL注入,XSS跨站,中间人攻击等安全问题。
项目地址: https://github.com/yahoo/gryffin
