Das Unternehmen Netflix hat mit Sleepy Puppy ein Tool veröffentlicht, das Webseiten auf potenzielle Cross-Site-Scripting-Lücken (XSS) abklopfen soll.
Netflix hat das Sleepy-Puppy-Framework unter Open-Source-Lizenz veröffentlicht. Gegenüber bereits vorhandenen Tools hatte Netflix mit Sleepy Puppy den Anspruch, ein umfassenderes Testing-Framework zu entwickeln. In der Ankündigung gehen die Netflix-Entwickler besonders auf den Aspekt des Delayed Cross-Site Scripting ein. Diese Angriffsmethode sei besonders trickreich, weil der Schadcode über eine Webseite eingeschleust wird und dort keinen Schaden anrichtet. Ziel ist es vielmehr über weitere Schnittstellen zu dieser Webseite, etwa einer Datenbank, auf entfernte Anwendungen und Webseiten zu gelangen. Die Methode habe das Potenzial, über den verzögerten Angriff auf einen Nutzer mit höheren Privilegien zu stoßen, etwa einen Admin.
Netflix fasst die Funktionsweise von Sleepy Puppy in der Ankündigung zusammen. Es gibt auch Wiki-Seiten zum Thema. Sleepy Puppy ist über die Open-Source-Site von Netflix verfügbar. Es gibt auch ein Docker-Image zum Testen.
