Web安全扫描平台Gryffin

金粉帝后

Gryffin 是雅虎开发的一个大规模 Web 安全扫描平台。它不是另外一个扫描器，其主要目的是为了解决两个特定的问题 —— 覆盖率和伸缩性。

该平台采用 Go 语言开发，依赖：Go；PhantomJS, v2；Sqlmap (for fuzzing SQLi)；Arachni (for fuzzing XSS and web vulnerabilities)；NSQ 。

安全扫描平台可实现的功能有：静态反编译：静态分析应用源代码中存在的安全风险，检测包含Android组件安全，应用程序安全，数据安全。动态检测：运行应用于安卓模拟器中，检测包含客户端自身安全，Android组件增强检测，应用通信安全，数据安全。

模拟人机交互：模拟用户和手机交互行为，检测交互过程中应用存在的通信安全风险。服务器指纹探测：探测后端服务器指纹，进行安全分析，检测后端服务器系统，开发框架，Web服务器，数据库等服务组件安全。

服务器后端API检测：抓取应用通信过程中的资源地址，检测应用与服务器通信接口是否存在SQL注入，XSS跨站，中间人攻击等安全问题。

项目地址： https://github.com/yahoo/gryffin