Yahoo! ra mắt công cụ quét bảo mật miễn phí dành cho các ứng dụng web

Ngoc Huynh

Yahoo! đã chính thức phát hành mã nguồn mở Gryffin – một công cụ quét bảo mật dành cho các ứng dụng web – nhằm mục đích nâng cao độ an toàn của Web.

Hiện tại Yahoo! chỉ mới phát hành phiên bản dùng thử, Project Gryffin đã có mặt trên Github theo giấy phép BSD (Berkeley Software Distribution License) – đây là một giấy phép phần mềm tự do với các điều kiện rất đơn giản được sử dụng rộng rãi cho phần mềm máy tính – và đây cũng là loại giấy phép mà Yahoo đã và đang sử dụng cho nhiều đề án mã nguồn mở của mình.

Về cơ bản Gryffin là một nền tảng Go & JavaScript giúp các nhà quản lý hệ thống quét các URL mà có nội dung web bị nhiễm mã độc và các lỗ hổng bảo mật thông thường bao gồm SQL Injection và Cross-Site Scripting (XSS) – đây là một kiểu tấn công cho phép hacker chèn những đoạn script độc hại (thông thường là Javascript hoặc HTML) vào website và sẽ được thực thi ở phía người dùng (trong trình duyệt của người dùng).

Yahoo mô tả Gryffin như là một nền tảng quét bảo mật dành cho Web có quy mô lớn, chứ không nằm ở mức độ là một công cụ quét, vì nó được thiết kế để hướng đến hai vấn đề đặc trưng là:

1. Coverage

2. Scale

Dĩ nhiên Scale (quy mô) nói đến các nền tảng Web lớn, còn Coverage bao gồm hai khía cạnh là: Crawl (là một thuật ngữ mô tả quá trình thu thập dữ liệu trên website) và Fuzzing (đây là một kỹ thuật dùng để tìm kiếm lỗ hổng của phần mềm).

Khả năng của Crawl là tìm kiếm footprint của các ứng dụng Web nhiều nhất có thể, nhưng ngược lại Fuzzing liên quan đến kiểm thử từng thành phần của ứng dụng để tìm kiếm các lỗ hổng.

Crawler của Gryffin được thiết kế để tìm kiếm “hàng triệu URL”.

Hơn thế nữa, Crawler cũng có cơ chế chống trùng lặp dữ liệu (de-duplacation engine) để so sánh một trang mới với trang hiện có và như vậy sẽ tránh được việc crawl trùng lặp nhau.

Crawler của Gryffin cũng có PhantomJS, PhantomJS được sử dụng để xử lý DOM renderding ở các ứng dụng của JavaScript phía khách hàng.

Các yêu cầu của Gryffin

Các yêu cầu của Gryffin bao gồm:

. Go

. PhantomJS v2

. Hệ thống thông báo phân tán NSQ

. Sqlmap để fuzzing SQL injection

. Arachni để fuzzing XSS và các lỗ hổng của Web

. Kibana và Elastic Search dành cho bảng điều khiển

Ngoài Yahoo!, hiện nay cũng có nhiều công ty lớn đã phát hành các công cụ quét các lỗ hổng bảo mật của ứng dụng web của riêng mình để mang đến sự trải nghiệm internet an toàn dành cho người dùng.

Vào tháng 2/2015, Google cũng đã phát hành một công cụ quét có tên là Google Cloud Security Scanner có khả năng quét các lỗ hổng bảo mật trên nền tảng đám mây một cách hiệu quả hơn đối với các ứng dụng của các nhà phát triển.

Chia sẻ bài viết ngay

Nguồn bài viết : http://thehackernews.com/