Blog d'un Éternel Geek

Gryffin-Le projet de plateforme sécurité de Yahoo

http://vivageek.com/data/images/secu/yahoogryffin.jpg

 

Yahoo a posé une version bêta de ce qui est une grande plate-forme de scanner de sécurité Web à grande échelle. Il a été écrit pour résoudre deux problèmes spécifiques aux scanners existants: la couverture et l'échelle.

 

Entièrement codé sur la base du langage de programmation développé par google (go langage), il utilise plusieurs services embarqués connus comme :

 

  • Sqlmap
  • Arachni
  • Dummy

 

Quelles sont les effets de cette attention ?

 

L'amélioration de la couverture lors du scan a été mise au point afin de baisser la trace de faux négatifs, source de mauvaise piste. En effet, un ingénieur en sécurité ou même un particulier va travailler même sur des pistes qui lui sembleraient mineures rapporter par le scanner.

 

Cependant, un scanner qui lance moins de faux positifs permettra un meilleur pourcentage de recherche et de précision. Sur ce point Yahoo a vraiment visé juste.

 

Le but est louable fournir un outil gratuitement à la communauté web afin d'avoir les possibilités de scanner son environnement et de mieux se sécuriser.

 

Cet élan de solidarité touche toutes les couches en ce moment. On l'a vu avec googler, Youtube,… C'est à croire qu'internet a changé la mentalité de certains grands groupes et leur a ordonné de participer.

 

Alors effet de mode ou juste envie d'aider, le principal est que l'on a un nouvel outil pour travailler.

 

La couverture a deux dimensions : un en cours de crawl et l'autre en cours de fuzzing.

 

Dans la phase exploration (crawling des pages web), la couverture implique d'être en mesure de trouver toutes les empreintes de l'application.

 

En phase de balayage, ou fuzzing, il implique d'être en mesure de tester chaque partie de la demande d'un ensemble de vulnérabilités appliquée en profondeur.

 

Le robot d'exploration de Gryffin est capable de couvrir des "millions d'URL".

 

En prime, elle est composée d'un système de duplicate, ce qui signifie que si elle scanne une page web déjà vue, elle sera automatiquement classée dans les doublons.

 

Pour mettre en avant les possibilités de DOM XSS, Gryffin utilise le framework phantomjs pour le rendu client et navigation.

 

Yahoo, le dit lui-même "Nous n'avons pas réinventé la roue", ainsi pour ce faire, Griffin utilise des projets open source capable de tester du contenu Web malveillant et de trouver des vulnérabilités web courantes comme XSS et SQL injection.

 

Beaucoup de scanners ont une utilisabilité à l’échelle de l'entreprise médiocre, et donc compter sur un tel outil met votre entreprise dans une position fort vulnérable.

 

Gryffin est construit sur le modèle éditeur-abonné. Chaque élément est soit un éditeur, soit un abonné, ou les deux. Cela permet de mettre en place une échelle horizontale en ajoutant simplement plusieurs nœuds d'abonnés ou de l'éditeur.

 

Pré-requis

 

  1. Go
  2. PhantomJS, v2
  3. Sqlmap (par fuzzing SQLi)
  4. Arachni (par fuzzing XSS et vulnérabilités web)
  5. Le système de messagerie distribué NSQ
  6. Kibana, pour tableaux de bord recherche.

 

Vous pouvez dès à présent bénéficier du code à cette adresse.

 

Merci de m'avoir lu, à bientôt.






 Geek me     Je suis un Geek dans l'âme. 18 ans à silloner internet pour récolter des informations afin de comprendre son fonctionnement. Idéalement j'étudie également le comportement humain.

C'est afin de vous partager mes connaissances que j'ai ouvert ce blog alors je vous souhaite une bonne lecture.



À lire également


Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée.

Quelle est la troisième lettre du mot khqgpi ? :