Yahoo tiene una herramienta de software libre llamada Gryffin, es una plataforma de escaneo para aplicaciones web. Con ella, la meta de los desarrolladores fue crear un escáner de seguridad que esté disponible para descubrir tantas huellas de aplicaciones como le sea posible (fase de rastreo) y para probarse en distintas vulnerabilidades específicas (fase de escaneo).

Lo que hace a Gryffin especial es la mejor cobertura de los temas mencionados anteriormente pero también es su capacidad de escalabilidad. "La escalabilidad inherente se traduce en la capacidad de escaneo y el soporte a una gran infraestructura de aplicaciones. Simplemente, es la habilidad para escanear mil aplicaciones hoy y cien mil aplicaciones para mañana por el sencillo escalado horizontal", explican en la página del proyecto en GitHub.

Durante la fase de rastreo, Gryffin descrube vínculos de aplicaciones y rutas de código. Gryffin se ahorra tiempo al detener el rastreo de páginas que tienen una estructura similar al HTML que previamente ya revisó.

Los desarrolladores no pierden tiempo al crear nuevos modulos de fuzzing. "Gryffin, usado en producción en Yahoo, utiliza sotware libre y fuzzers personalizados. Algunos de estos fuzzers personalizados podrían ser en un futuro de software libre y podrían o no ser parte del repositorio de Gryffin", compartieron.

Esta versión (beta) de software libre de Gryffin viene con sqlmap y arachni para demostrar las capacidades de la plataforma. Estos dos fuzzers están enfocados en encontrar vulnerabilidades de SQLi y XSS, respectivamente.

"Mientras esperamos que en un futuro Gryffin esté disponible como un paquete independiente, en realidad se construyó para ser escalable," explicaron los desarrolladores. "Gryffin esta construido en un modelo de editor-suscriptor. Cada componente es un editor, un suscriptor o ambos. Esto permite a Gryffin escalar horizontalmente con sólo agregar más nodos suscriptores o editores."