Yahoo представил Gryffin, открытый сканер безопасности для Web-приложений

Александр Панасенко 28 Сентября 2015 - 09:45

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Системы для анализа защищенности информационных систем

...

Компания Yahoo открыла исходные тексты платформы Gryffin, предназначенной для проведения всесторонних проверок безопасности в Web, охватывающих различные аспекты работы web-приложений.

Gryffin характеризуется гибкими средствами тестирования и горизонтальной масштабируемостью, позволяющей с минимальными усилиями перейти от системы для тестирования тысячи web-приложений к конфигурации для проверки 100 тысяч программ. Платформа рассчитана в первую очередь на проверку современных web-приложений, динамически генерирующих контент на стороне клиента силами JavaScript.

В процессе работы Gryffin пытается собрать как можно больше данных о поведении приложении и режимах его работы, сочетая использование поискового бота и различных техник fuzzing-тестирования. Интегрированный поисковый движок позволяет оттолкнувшись от заданного для проверки URL выявить миллионы реальных комбинаций запросов, охватывающих различные режимы работы web-приложения. Fuzzing-тестирование позволяет сгенерировать нетипичные варианты обращения к приложению. Gryffin корректно обрабатывает дубликаты (проверяется повторяемость структуры результирующего документа для отсеивания повторных проверок типовых генераторов контента) и учитывает динамическую генерацию интерфейса для чего используется встроенный браузерный движок PhantomJS, применяемый для симуляции отрисовки DOM при выполнении JavaScript, пишет opennet.ru.

Исходные тексты написаны на языке Go и поставляются под лицензией BSD. В платформе задействованы фреймворк PhantomJS (обособленный JavaScript-движок на базе WebKit), Sqlmap (для выявления уязвимостей, связанных с подстановкой запросов SQL), Arachni (для fuzzing-тестирования наличия XSS и прочих уязвимостей), NSQ (шина обмена сообщениями), Kibana и Elastic search (для формирования web-интерфейса для оценки результатов сканирования и аналитики). Поддерживается подключение собственных инструментов тестирования безопасности.

Из планов на будущее отмечается поддержка симуляции мобильного браузера, создание преднастроенного docker-образа для быстрого развёртывания Gryffin, возможность использования СУБД Redis как общего хранилища статистики для распределённых на несколько серверов конфигураций, подготовка документации, улучшение обработки Cookie, выявление дубликатов шаблонов URL на основе оценки приблизительного сходства при помощи алгоритма simhash.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 26 Февраля 2026 - 19:25

Корпорации

Фалькон Тех перенесла видеоаналитику для Москвы в VK Cloud

Компания «Фалькон Тех», которая разрабатывает решения в сфере видеоаналитики и компьютерного зрения, перевела ключевые высоконагруженные сервисы в VK Cloud. Переход в облако стал частью более широкой трансформации — компания выстраивает модель полноценного технологического вендора.

Нагрузка у «Фалькон Тех» действительно серьёзная: в системе одновременно работают более 4 000 видеокамер, а ежемесячный объём трафика превышает 500 ТБ.

Данные поступают в реальном времени, и инфраструктура должна выдерживать пики — от утренних часов до сезонных всплесков активности.

На базе VK Cloud развернуты сервисы, которые используются в проектах по интеллектуальному контролю ПДД и парковки, анализу транспортных потоков и мониторингу городской среды. Речь идёт о системах, которые объединяют ИИ-видеонаблюдение и аналитику данных. Сейчас решения применяются в Москве — в том числе в проектах АМПП и МАДИ.

По словам генерального директора «Фалькон Тех» Никиты Чистикова, для компании критично масштабироваться без простоев и с минимальными задержками. Суточный объём данных может достигать десятков терабайт, поэтому инфраструктура должна оперативно адаптироваться к росту нагрузки.

В облаке используются управляемый Kubernetes с автоскейлингом, объектное хранилище и базы данных PostgreSQL и MongoDB. Такая архитектура позволяет обрабатывать интенсивный поток данных и при необходимости быстро наращивать ресурсы.

В VK Tech отмечают, что подобный сценарий типичен для проектов, связанных с городскими сервисами, транспортной аналитикой и системами мониторинга, где важны масштабируемость и стабильность работы под высокой нагрузкой.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!