Η Netflix ανέπτυξε και διαθέτει δωρεάν για όλους τους ενδιαφερόμενους, ένα εργαλείο για τον εντοπισμό ευπαθειών cross-site scripting (XSS).
Το εργαλείο Sleeping Puppy περιέχει εργαλεία ασφαλείας ανεπτυγμένα από τη Netflix. Στα εργαλεία συμπεριλαμβάνονται τα Fully Integrated Defense Operation automated incidence response platform, Dirty Laundry blabbing staff monitor, και το τρίο Scumblr, Sketchy, και Workflowable hack monitors.
Οι προγραμματιστές της Νetflix, Scott Behrens (helloarbit) και Patrick Kelley (monkeysecurity) δημιούργησαν το Sleeping Puppy με ωφέλιμο φορτίο που μπορεί να βοηθήσει τους admins να ανακαλύψουν ευπάθειες cross-site scripting (XSS) στις web εφαρμογές τους.
“Συχνά, όταν γίνεται έλεγχος για client side injections (όπως HTML και JavaScript) οι τεχνικοί ασφαλείας αναζητούν που θα γίνει το injection μέσα από την εφαρμογή τους δοκιμάζουν,” αναφέρουν οι ερευνητές.
“Αν και αυτό παρέχει αρκετά καλή κάλυψη για το πεδίο της εφαρμογής, υπάρχει περίπτωση οι επιτιθέμενοι να πραγματοποιήσουν το injecting και να κάνουν αντανάκλαση από μια εντελώς ξεχωριστή εφαρμογή.”
Οι διαχειριστές μπορούν να ελέγξουν με το Sleepy Puppy δεδομένα όπως, URLs, referrers, cookies, user agents, Document Object Models, και screenshots.
Η πλατφόρμα λειτουργεί με το Docker, και είναι εξαιρετικά ευέλικτη, επιτρέποντας στους χρήστες να εφαρμόσουν τα δικά τους ωφέλιμα φορτία και εργαλεία παρακολούθησης.
Μπορεί επίσης να συνδεθεί σε σουίτα Burp suite ή Ζαρ, χρησιμοποιώντας APIs.
Δείτε όλα τα εργαλεία της Νetflix στο GitHub.
Μπορείτε να κατεβάσετε το Sleepy Puppy από εδώ.