Yahoo представил Gryffin, открытый сканер безопасности для Web-приложений

Александр Панасенко 28 Сентября 2015 - 09:45

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Системы для анализа защищенности информационных систем

...

Компания Yahoo открыла исходные тексты платформы Gryffin, предназначенной для проведения всесторонних проверок безопасности в Web, охватывающих различные аспекты работы web-приложений.

Gryffin характеризуется гибкими средствами тестирования и горизонтальной масштабируемостью, позволяющей с минимальными усилиями перейти от системы для тестирования тысячи web-приложений к конфигурации для проверки 100 тысяч программ. Платформа рассчитана в первую очередь на проверку современных web-приложений, динамически генерирующих контент на стороне клиента силами JavaScript.

В процессе работы Gryffin пытается собрать как можно больше данных о поведении приложении и режимах его работы, сочетая использование поискового бота и различных техник fuzzing-тестирования. Интегрированный поисковый движок позволяет оттолкнувшись от заданного для проверки URL выявить миллионы реальных комбинаций запросов, охватывающих различные режимы работы web-приложения. Fuzzing-тестирование позволяет сгенерировать нетипичные варианты обращения к приложению. Gryffin корректно обрабатывает дубликаты (проверяется повторяемость структуры результирующего документа для отсеивания повторных проверок типовых генераторов контента) и учитывает динамическую генерацию интерфейса для чего используется встроенный браузерный движок PhantomJS, применяемый для симуляции отрисовки DOM при выполнении JavaScript, пишет opennet.ru.

Исходные тексты написаны на языке Go и поставляются под лицензией BSD. В платформе задействованы фреймворк PhantomJS (обособленный JavaScript-движок на базе WebKit), Sqlmap (для выявления уязвимостей, связанных с подстановкой запросов SQL), Arachni (для fuzzing-тестирования наличия XSS и прочих уязвимостей), NSQ (шина обмена сообщениями), Kibana и Elastic search (для формирования web-интерфейса для оценки результатов сканирования и аналитики). Поддерживается подключение собственных инструментов тестирования безопасности.

Из планов на будущее отмечается поддержка симуляции мобильного браузера, создание преднастроенного docker-образа для быстрого развёртывания Gryffin, возможность использования СУБД Redis как общего хранилища статистики для распределённых на несколько серверов конфигураций, подготовка документации, улучшение обработки Cookie, выявление дубликатов шаблонов URL на основе оценки приблизительного сходства при помощи алгоритма simhash.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 11 Апреля 2025 - 11:32

Корпорации Selectel

Выручка Selectel в 2024 году выросла на 29% и составила 13,2 млрд рублей

По итогам 2024 года общая выручка Selectel достигла 13,2 млрд рублей, что на 29% больше по сравнению с 2023 годом. Основным драйвером роста стали облачные сервисы, на долю которых пришлось 11,4 млрд рублей — прирост по сравнению с предыдущим годом составил 32%.

Клиентская база компании также продолжила расти: число клиентов достигло 27,8 тыс., увеличившись на 3,8 тыс. по сравнению с 2023 годом. Примечательно, что приток новых клиентов за 2024 год удвоился.

Среди новых клиентов Selectel выделяет компанию КАМА — разработчика российского электромобиля «Атом», а также девелопера Level Group. Последний смог сократить затраты на ИТ-инфраструктуру на 30% благодаря миграции в частное облако Selectel.

Клиентская база компании остаётся диверсифицированной по размеру — среди клиентов есть крупные, средние и малые бизнесы. Однако наибольший прирост выручки показали именно крупные заказчики — рост составил 48%. При этом 15% общей выручки приходится на пятёрку крупнейших клиентов.

Наиболее активными отраслями остаются ИТ, розничная торговля и медиа — вместе они обеспечивают 63% от общего объёма поступлений.

Selectel продолжает инвестировать в развитие собственной инфраструктуры и обновление оборудования. Капитальные вложения за 2024 год составили 5,9 млрд рублей. Из них 3,8 млрд рублей было направлено на закупку серверного оборудования, а ещё 1,9 млрд рублей — на развитие дата-центров, в частности площадки ЦОД «Юрловский».

В течение года компания также представила собственную серверную операционную систему с преднастроенным и оптимизированным программным обеспечением, что позволило снизить нагрузку на ИТ-персонал заказчиков. Кроме того, Selectel разработал и выпустил серверное оборудование под собственной торговой маркой. Эти решения доступны как для аренды в дата-центрах компании, так и для установки на площадке заказчика.

Ещё одним достижением стало получение аккредитации регистратора доменных имён в зонах .RU и .РФ.

Наконец, компания запустила платформенный сервис для работы с приложениями на базе «1С» — как для корпоративных пользователей, так и для разработчиков. Новый сервис нацелен на повышение эффективности и оптимизацию работы с продуктами «1С».

Yahoo представил Gryffin, открытый сканер безопасности для Web-приложений

Читайте также