Videostreamingdienst Netflix heeft een opensourcetool gelanceerd waarmee webontwikkelaars hun applicaties op cross-site scripting kunnen testen. Cross-site scripting (XSS) is een probleem waarbij een aanvaller code op een website plaatst die vervolgens in de browser van bezoekers wordt uitgevoerd.
Op deze manier kan een aanvaller bijvoorbeeld cookies stelen en zo toegang tot het account van een gebruiker krijgen. Hoewel XSS al jaren bekend is, staat het sinds 2004 in de OWASP Top 10 van meestvoorkomende beveiligingsproblemen. Volgens recent onderzoek zou bijna de helft van de webapplicaties één of meerdere XSS-kwetsbaarheden bevatten.
Er zijn al verschillende tools beschikbaar waarmee XSS-problemen zijn op te sporen, maar volgens Netflix dekken die niet alles binnen een applicatie of de meerdere applicaties waarvoor een security-engineer verantwoordelijk is. Zo testen de tools niet op XSS binnen secondaire applicaties. Als oplossing besloot Netflix een naar eigen zeggen completer framework voor het testen op XSS te ontwikkelen, dat het eenvoudiger moet maken om XSS te identificeren en zo het probleem sneller te verhelpen.
Het resultaat is "Sleepy Puppy", zoals de tool heet. Via het framework kunnen security-engineers het proces voor het vinden, beheren en volgen van XSS over langere periodes en meerdere assessments vereenvoudigen. Netflix heeft de tool daarnaast open source gemaakt. De videostreamingdienst zegt Sleepy Puppy zelf ook te gebruiken voor het vinden van XSS en is benieuwd hoe de opensourcegemeenschap de tool zal gebruiken. Volgens Daniel Miessler van HP en OWASP, die in juli al een demonstratie kreeg, is Sleepy Puppy een veelbelovende tool.
Deze posting is gelocked. Reageren is niet meer mogelijk.