Sleepy Puppy encuentra errores XSS en aplicaciones

Share this…

Netflix volvió de código abierto su framework de gestión de payloads de cross-site scripting  llamado Sleepy Puppy, el cual identifica vulnerabilidades XSS presentes en aplicaciones.

Sleepy Puppy tiene como objetivo abordar el mayor problema de identificación de vulnerabilidades XSS presentes en todas partes: buscándolas no sólo en aplicaciones específicas sino también en otras que no están disponibles para pruebas, pero cuya presencia en última instancia, también pone en peligro a los usuarios.

“A pesar de que en las pruebas no puedan obtener acceso a la aplicación vulnerable, la vulnerabilidad podría ser usada para aprovecharse del usuario. De hecho, este tipo de vulnerabilidades pueden ser aún más peligrosas que las XSS comunes, puesto que las víctimas potenciales son tipos privilegiados tipos de usuarios (empleados, administradores, etc.),” Explicaron los Expertos en Seguridad de Netflix Scott Behrens y Patrick Kelley. Sleepy Puppy realiza la llamada de prueba XSS y no es la única aplicación que hace esto.

app server

“Sin embargo, queríamos un marco de pruebas XSS más integral para simplificar la propagación e identificación XSS, permitiéndonos trabajar con desarrolladores para remediar los problemas más rápido.” Los investigadores compartieron su motivo para la creación de la herramienta.

Sleepy Puppy puede enviar notificaciones por correo electrónico a los Ingenieros en Seguridad cuando se encuentran errores y registros documentando sus hallazgos:

Pero lo que los usuarios encontrarán más útil es el hecho de que esta prueba framework puede ser configurada de acuerdo a sus necesidades. Por ejemplo, pueden crear sus propios payloads y scripts de recopilación de información.

Fuente:https://www.seguridad.unam.mx/