Netflix-Tool findet XSS-Lücken

04.09.2015

Netflix hat ein Programm zum Auffinden von Cross-Site-Scripting-Sicherheitslücken veröffentlicht. 

Unter dem Namen "Sleepy Puppy" hat Netflix ein neues Tool veröffentlicht, das dabei hilft die Anfälligkeit von Websites hinsichtlich Cross Site Scripting (XSS) zu untersuchen. Wie Netflix betont, rangiert XSS seit 2004 in der OWASP-Liste unter den Top 10 der Sicherheitslücken. Zwar gibt es schon einige Tools, die XSS-Lücken finden, etwa  BEef, BurpSuite Collaborator und XSS.IO, die auch aus Sicht von Netflix sehr brauchbar sind.

Sleepy Puppy verfolgt aber einen noch umfassenderen Ansatz, der insbesondere sogenannte Delayed Attacks erkennen möchte. Dabei taucht der Schadcode nicht unbedingt sofort auf der Website auf, über die er eingeschleust wurde, sondern kann auch erst viel später und auf anderen Websites zur Wirkung kommen, die mit der Eintrittssite verbunden sind, etwa über eine gemeinsame Datenbank. 

Sleepy Puppy setzt eine Reihe von Komponenten voraus, darunter Python 2.7, SQLAlchemy und einige Javascript-Module. Wer das XSS-Tool ausprobieren möchte, kann auch ein Docker-Image verwenden, das von Netflix angeboten wird. 

Security

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Netflix gibt Framework für Zertifikatsmanagement frei

Der Streaming-Anbieter veröffentlicht ein weiteres Tool unter einer freien Lizenz. 

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing