Abo
  • Services:

Cross-Site-Scripting: Netflix stellt Tool zum Auffinden von Sicherheitslücken vor

Der Streamingdienst Netflix erstellt nicht nur aufwendige Eigenproduktionen, sondern entwickelt auch Sicherheitstools. Jetzt hat das Unternehmen ein Werkzeug zum Auffinden von Schwächen von Cross-Site-Scripting vorgestellt.

Artikel veröffentlicht am ,
SleepPuppy: schematische Darstellung
SleepPuppy: schematische Darstellung (Bild: Netflix)

Der Streaming-Dienst Netflix stellt auf seinem Github-Profil mit dem Namen Sleepy Puppy seit kurzem ein Sicherheitstool unter offener Lizenz bereit. Es soll das Auffinden von Anfälligkeiten für Cross-Site-Scripting (XSS) in Formularen und anderen Applikationen erleichtern. Ziel der Netflix-Verantwortlichen war es, entsprechende Schwachstellen einfacher zu finden und miteinander vernetzte Systeme besser zu verstehen.

XSS-Schwächen zu finden ist komplex

Stellenmarkt
  1. BWI GmbH, Bonn, Meckenheim, Strausberg, Wilhelmshaven
  2. Dataport, verschiedene Standorte

Web-Applikationen auf XSS-Schwächen zu testen, ist komplex, da Programmierer alle Eingaben und Ausgaben einer Applikation prüfen müssen. Einmal eingegebene Nutzerdaten können in vielen verschiedenen Kontexten auftauchen. Ein im Feld "Vorname" eingegebener Datensatz etwa kann in Buchhaltungssystemen oder im Kundenservice auftauchen. Jedes System kann wiederum für andere Angriffe verwundbar sein. Alle Möglichkeiten vorab manuell zu testen, ist bei komplexen Systemen kaum möglich.

Mit dem neuen Verfahren soll es möglich sein, Schadcode (den "payload") gezielt in ein Web-Frontend zu injizieren, um dann die Auswirkungen auf andere Systeme zu testen. Das System zeigt den Ingenieuren auch an, an welcher Stelle der bösartige Code seine Wirkung entfaltet.

Angreifer nutzen die Schwächen häufig aus

Bei XSS-Schwächen nutzen Angreifer Fehler in Onlineformularen, um Schadcode in Webanwendungen auszuführen. Dies kann funktionieren, wenn die Webanwendung Daten vor der Weiterleitung an den Browser nicht auf Validität überprüft.

SleepPuppy ist nicht das erste Sicherheitstool, das Netflix veröffentlicht. Im vergangenen Jahr veröffentlichte das Unternehmen die Tools Scumblr und Sketchy, zwei Programme, die soziale Netzwerke nach möglichen Angriffen auf Systeme durchsuchen. Das Tool Security Monkey wird genutzt, um ein besseres Monitoring von Amazon-Web-Services (AWS) zu gewährleisten.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

hg (Golem.de) 03. Sep 2015

Danke für den Hinweis. Ist ein Tippfehler und wird morgen früh korrigiert. Einen schönen...


Folgen Sie uns
       


LG 5K2K (34WK95U) Ultrawide - Fazit

Der aktuelle Ultrawide von LG hat eine beeindruckend hohe Auflösung und eignet sich wunderbar für Streamer oder die Videobearbeitung.

LG 5K2K (34WK95U) Ultrawide - Fazit Video aufrufen
Oldtimer umrüsten: Happy End mit Elektromotor
Oldtimer umrüsten
Happy End mit Elektromotor

Verbotszonen könnten die freie Fahrt von Oldtimern einschränken. Aber auch Umweltschutzgründe und Exzentrik führen dazu, dass immer mehr Sammler ihre liebsten Fahrzeuge umrüsten.
Ein Bericht von Dirk Kunde

  1. Piëch Mark Zero Porsche-Nachfahre baut eigenen E-Sportwagen
  2. Elektroautos Sportversion des E.Go Life und Shuttle E.Go Lux
  3. Rivian Amazon investiert in Elektropickups

Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

    •  /