Netflix-Tool findet XSS-Lücken

04.09.2015

Netflix hat ein Programm zum Auffinden von Cross-Site-Scripting-Sicherheitslücken veröffentlicht. 

Unter dem Namen " Sleepy Puppy " hat Netflix ein neues Tool veröffentlicht, das dabei hilft die Anfälligkeit von Websites hinsichtlich Cross Site Scripting (XSS) zu untersuchen. Wie Netflix betont, rangiert XSS seit 2004 in der OWASP-Liste unter den Top 10 der Sicherheitslücken. Zwar gibt es schon einige Tools, die XSS-Lücken finden, etwa  BEef , BurpSuite Collaborator  und XSS.IO , die auch aus Sicht von Netflix sehr brauchbar sind.

Sleepy Puppy verfolgt aber einen noch umfassenderen Ansatz, der insbesondere sogenannte Delayed Attacks erkennen möchte. Dabei taucht der Schadcode nicht unbedingt sofort auf der Website auf, über die er eingeschleust wurde, sondern kann auch erst viel später und auf anderen Websites zur Wirkung kommen, die mit der Eintrittssite verbunden sind, etwa über eine gemeinsame Datenbank. 

Sleepy Puppy setzt eine Reihe von Komponenten voraus, darunter Python 2.7, SQLAlchemy und einige Javascript-Module. Wer das XSS-Tool ausprobieren möchte, kann auch ein Docker-Image verwenden, das von Netflix angeboten wird. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Netflix gibt Framework für Zertifikatsmanagement frei

Der Streaming-Anbieter veröffentlicht ein weiteres Tool unter einer freien Lizenz. 

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022