Sleepy Puppy: herramienta de Netflix para detectar XSS

Los miembros del equipo de Netflix, Scott Behrens y Patrick Kelley han lanzado una herramienta Open Source llamada Sleepy Puppy, orientada a la detección de Cross-site Scripting (XSS). Según Netflix, la herramienta va más allá de sólo probar aplicaciones en busca de defectos XSS sino que también puede proporcionar una forma de aprovechar el fallo a través de payloads específicos.

Sleepy Puppy está diseñada para simplificar el proceso de captura, gestión y seguimiento de ataques XSS durante un período de tiempo y en sesiones, permite categorizar a las inyecciones y cadenas XSS. Además, se puede utilizar con una API para conectar a otras herramientas populares como BEef, PortSwigger BurpSuite Collaborator, ZAP Proxy, XSS.IO.

Netflix creo un proceso denominado Delayed XSS Testing que puede utilizarse para ampliar el alcance del testing e inyectar un XSS en una aplicación distinta a la original.

El valor por defecto "PuppyScript", es un script de Java que recopila información sobre metadatos, URL, DOM, user-agent, cookies, HTTP-Referer y permite capturas de pantalla de la aplicación donde se ejecutó el payload.

La herramienta está desarrollada en Python 2.7 con Flask, SQLAlchemy para el almacenamiento de información y Html2Canvas para realizar las capturas de pantalla. Sleepy Puppy está disponible en la Web de Netflix y viene configurado con un esquema de evaluación predeterminado.

Fuente: ZDNet

Suscríbete a nuestro Boletín