Sleepy Puppy: Netflix-Tool jagt XSS-Lücken
Sicherheitsforscher können mit Sleepy Puppy tief in Netzwerken graben und an verschiedenen Stellen Schwachstellen für Cross-Site-Scripting ausfindig machen.
(Bild: dpa, Bernd von Jutrczenka)
Mit dem Tool Sleepy Puppy will Netflix die Erfolgsquote für das Auffinden von XSS-Lücken erhöhen. Dafür lege sich das Tool auf die Lauer und klopft verzögert verschiedene Applikationen ab. Das ist hilfreich, wenn sich ein XSS-Angriff in Netzwerken verbreitet, erklärt Netflix in seinem Tech Blog.
Missbraucht ein Angreifer etwa ein Namensfeld in einem Formular für einen XSS-Übergriff, kann der Datensatz in einer Datenbank landen und von da aus etwa Applikationen in der Buchhaltung infizieren. Sleepy Puppy soll XSS-Attacken verfolgen und Sicherheitsforscher per E-Mail mit tiefergehenden Details informieren, wenn eine Schwachstelle entdeckt wird.
Sleepy Puppy ist Open Source und auf Netflix' Github verfügbar. Das Tool komme mit verschiedenen XSS-Tests daher, damit Sicherheitsforscher Systeme gleich testen können.
Netflix baut sein Portfolio an Sicherheits-Tools kontinuierlich aus. Im Mai dieses Jahres stellten sie mit FIDO ein Tool zur Malwarejagd vor. Mit Scumblr und Sketchy soll man soziale Netzwerke nach Indizien für anstehende Angriffe durchforsten können. (des)
