Yahoo представил Gryffin, открытый сканер безопасности для Web-приложений

Александр Панасенко 28 Сентября 2015 - 09:45

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Системы для анализа защищенности информационных систем

...

Компания Yahoo открыла исходные тексты платформы Gryffin, предназначенной для проведения всесторонних проверок безопасности в Web, охватывающих различные аспекты работы web-приложений.

Gryffin характеризуется гибкими средствами тестирования и горизонтальной масштабируемостью, позволяющей с минимальными усилиями перейти от системы для тестирования тысячи web-приложений к конфигурации для проверки 100 тысяч программ. Платформа рассчитана в первую очередь на проверку современных web-приложений, динамически генерирующих контент на стороне клиента силами JavaScript.

В процессе работы Gryffin пытается собрать как можно больше данных о поведении приложении и режимах его работы, сочетая использование поискового бота и различных техник fuzzing-тестирования. Интегрированный поисковый движок позволяет оттолкнувшись от заданного для проверки URL выявить миллионы реальных комбинаций запросов, охватывающих различные режимы работы web-приложения. Fuzzing-тестирование позволяет сгенерировать нетипичные варианты обращения к приложению. Gryffin корректно обрабатывает дубликаты (проверяется повторяемость структуры результирующего документа для отсеивания повторных проверок типовых генераторов контента) и учитывает динамическую генерацию интерфейса для чего используется встроенный браузерный движок PhantomJS, применяемый для симуляции отрисовки DOM при выполнении JavaScript, пишет opennet.ru.

Исходные тексты написаны на языке Go и поставляются под лицензией BSD. В платформе задействованы фреймворк PhantomJS (обособленный JavaScript-движок на базе WebKit), Sqlmap (для выявления уязвимостей, связанных с подстановкой запросов SQL), Arachni (для fuzzing-тестирования наличия XSS и прочих уязвимостей), NSQ (шина обмена сообщениями), Kibana и Elastic search (для формирования web-интерфейса для оценки результатов сканирования и аналитики). Поддерживается подключение собственных инструментов тестирования безопасности.

Из планов на будущее отмечается поддержка симуляции мобильного браузера, создание преднастроенного docker-образа для быстрого развёртывания Gryffin, возможность использования СУБД Redis как общего хранилища статистики для распределённых на несколько серверов конфигураций, подготовка документации, улучшение обработки Cookie, выявление дубликатов шаблонов URL на основе оценки приблизительного сходства при помощи алгоритма simhash.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 22 Января 2026 - 09:40

Общее Защита от сбоев

Беспилотные грузовики получат дополнительную защиту от кибератак

Система идентификации беспилотного транспорта на базе «ЭРА ГЛОНАСС» в ближайшее время получит новый функционал. Речь идёт о дополнительных мерах защиты от внешних атак, а также о механизме принудительной остановки техники в случае чрезвычайных ситуаций.

О планах по расширению возможностей «ЭРА ГЛОНАСС» рассказал ТАСС генеральный директор АО «ГЛОНАСС» Алексей Райкевич.

По его словам, к системе уже подключены все 95 беспилотных грузовых автомобилей, задействованных в эксперименте по автономным грузоперевозкам.

«Совместно с Минтрансом России мы запустили публичный счётчик безаварийного пробега робофур — для объективной оценки зрелости технологии. Следующий этап — появление новых функций в единой системе идентификации на базе “ЭРА ГЛОНАСС”. Речь идёт о защите робофур от кибератак и создании механизма централизованной принудительной остановки в случае чрезвычайных происшествий», — отметил Алексей Райкевич.

Кроме того, глава АО «ГЛОНАСС» сообщил о работе, которую Минтранс России ведёт в части правового регулирования беспилотного транспорта. По его словам, ведомство фактически выступает пионером в этой области — в том числе на мировом уровне.

Разработка нормативной базы при этом идёт параллельно с продолжением эксперимента по перевозке грузов с использованием робофур. В нём задействованы федеральные трассы М-11 «Нева», М-4 «Дон» и ЦКАД. Такой подход, по мнению Алексея Райкевича, позволяет сократить разрыв между внедрением новых технологий и их регулированием.

Согласно данным исследования АО «ГЛОНАСС», в 2025 году количество атак на автомобили всех типов выросло на 20%. При этом 93% инцидентов носили удалённый характер. Чаще всего транспорт атакуют с целью угона, реже — для вымогательства.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »