Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Cross-Site-Scripting: Netflix stellt Tool zum Auffinden von Sicherheitslücken vor

Der Streamingdienst Netflix erstellt nicht nur aufwendige Eigenproduktionen, sondern entwickelt auch Sicherheitstools. Jetzt hat das Unternehmen ein Werkzeug zum Auffinden von Schwächen von Cross-Site-Scripting vorgestellt.
/ Hauke Gierow
2 Kommentare News folgen (öffnet im neuen Fenster)
SleepPuppy: schematische Darstellung (Bild: Netflix)
SleepPuppy: schematische Darstellung Bild: Netflix

Der Streaming-Dienst Netflix stellt auf seinem Github-Profil(öffnet im neuen Fenster) mit dem Namen Sleepy Puppy(öffnet im neuen Fenster) seit kurzem ein Sicherheitstool unter offener Lizenz bereit. Es soll das Auffinden von Anfälligkeiten für Cross-Site-Scripting (XSS) in Formularen und anderen Applikationen erleichtern. Ziel der Netflix-Verantwortlichen war es, entsprechende Schwachstellen einfacher zu finden und miteinander vernetzte Systeme besser zu verstehen(öffnet im neuen Fenster) .

XSS-Schwächen zu finden ist komplex

Web-Applikationen auf XSS-Schwächen zu testen, ist komplex, da Programmierer alle Eingaben und Ausgaben einer Applikation prüfen müssen. Einmal eingegebene Nutzerdaten können in vielen verschiedenen Kontexten auftauchen. Ein im Feld "Vorname" eingegebener Datensatz etwa kann in Buchhaltungssystemen oder im Kundenservice auftauchen. Jedes System kann wiederum für andere Angriffe verwundbar sein. Alle Möglichkeiten vorab manuell zu testen, ist bei komplexen Systemen kaum möglich.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Java-Softwareentwickler/-innen (m/w/d) Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln (öffnet im neuen Fenster)
Leitung – Amt für Digitalisierung und IT (Wirtschaftsinformatik, angewandte Informatik oder Verwaltungsinformatik) Landkreis Rotenburg Haupt- und Personalamt, Rotenburg (Wümme),Homeoffice (öffnet im neuen Fenster)
Inhouse IT-Consultant (m/w/d) im Anforderungsmanagement Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW), Münster,Oberhausen,Paderborn,Köln,Düsseldorf,Aachen,Hagen (öffnet im neuen Fenster)
Systemtechniker / Ingenieur (m/w/d) Daten & Security VSE NET GmbH, Völklingen (öffnet im neuen Fenster)
IT Security Engineer (m/w/d) Thyssengas GmbH, Dortmund (öffnet im neuen Fenster)
AI Solution Engineer (m/w/d) HOCHTIEF PPP Solutions GmbH, Essen (öffnet im neuen Fenster)
SAP-Berater (m/w/d) Berechtigungsmanagement ivv GmbH, Hannover (öffnet im neuen Fenster)
IT Systemadministrator Hosting Services (m/w/d) COMRAMO AG, Hannover (öffnet im neuen Fenster)

Mit dem neuen Verfahren soll es möglich sein, Schadcode (den "payload") gezielt in ein Web-Frontend zu injizieren, um dann die Auswirkungen auf andere Systeme zu testen. Das System zeigt den Ingenieuren auch an, an welcher Stelle der bösartige Code seine Wirkung entfaltet.

Angreifer nutzen die Schwächen häufig aus

Bei XSS-Schwächen nutzen Angreifer Fehler in Onlineformularen, um Schadcode in Webanwendungen auszuführen. Dies kann funktionieren, wenn die Webanwendung Daten vor der Weiterleitung an den Browser nicht auf Validität überprüft.

SleepPuppy ist nicht das erste Sicherheitstool, das Netflix veröffentlicht. Im vergangenen Jahr veröffentlichte das Unternehmen die Tools Scumblr(öffnet im neuen Fenster) und Sketchy(öffnet im neuen Fenster) , zwei Programme, die soziale Netzwerke nach möglichen Angriffen auf Systeme durchsuchen. Das Tool Security Monkey(öffnet im neuen Fenster) wird genutzt, um ein besseres Monitoring von Amazon-Web-Services (AWS) zu gewährleisten.

Zur Startseite 2 Kommentare

Relevante Themen

SoftwareToolsFrameworksCloudSecurityCybercrimeUnterhaltung & HobbyStreamingDatensicherheit