Компания Netflix — один из топовых на Западе поставщиков контента на базе потокового мультимедиа (который, к сожалению, не работает для России). Будучи огромной компанией, Netflix порой разрабатывает собственные продукты, в основном, предназначенные для внутреннего использования. На этот раз было сделано исключение. Компания представила open source фреймворк Sleepy Puppy, с которым поиск XSS (cross site scripting) уязвимостей должен стать значительно проще.
Фреймворк призван облегчить процесс обнаружения, исправления и отслеживания распространения XSS. Разработчики Netflix Скотт Беренс (Scott Behrens) и Патрик Келли (Patrick Kelley) официально представили Sleepy Puppy в блоге компании. Инструмент ориентирован не только на поиск XSS в основных приложениях, он также проверяет приложения сторонние и вторичные, которые могут стать каналом для реализации XSS. Иными словами, Sleepy Puppy может приглядывать за XSS в основных приложениях, но не станет поднимать тревогу до тех пор, пока атака не перешла к приложениям вторичным и, главное, к исполнению. Разработчики назвали этот метод «отложенным» XSS тестированием.
К примеру, сотрудники Netflix делают инъекцию пейлоуда на свой сервер, откуда пейлоуд расходится повсюду, включая места, где доступа и контроля у администраторов Netflix нет. Если где-то, по ходу распространения, срабатывает XSS, Sleepy Puppy присылает «хозяину» на email отчет об инциденте, содержащий полную информацию: DOM, URL, куки, информацию о пейлоуде и даже скриншот.
Sleepy Puppy не только предлагает API всем тем, кто заинтересован в создании плагинов к таким сканерам как Burp или Zap. Также инструмент содержит некоторое число пейлоудов и PuppyScript – скрипты основанные на Java, способные собирать метаданные (URL, куки, DOM, referer header, user-agent и так далее). Sleepy Puppy отлично кастомизируется, работает с Docker и позволяет пользователям добавлять собственные инструменты для мониторинга и пейлоуды.
«Sleepy Puppy помогает подразделению безопасности Netflix обнаружить распространение XSS в системах, даже если к ним нет прямого доступа. Мы надеемся, что open source сообщество сумеет найти для Sleepy Puppy новые, интересные применения, и будет использовать его для упрощения поиска XSS и их исправления», —пишут разработчики.
Фото: Netflix
