Blog d'un Éternel Geek

Netflix partage son framework Sleepy Puppy : service de sécurité pour applications Web

http://vivageek.com/data/images/secu/wallhaven-193825.jpg

 

Netflix connu surtout pour ces séries et vidéos à la demande a fait un joli cadeau aux internautes en mettant à disposition son script Sleepy Puppy qui permet aux ingénieurs de sécurité de simplifier le processus de capture, gestion et suivi de propagation XSS sur de longues périodes de temps et de nombreuses évaluations.

 

Sur le billet de son blogue, il explique l'importance de la vulnérabilité appelés Cross –site scripting (XSS) et souligne le fait que :

 

" XSS figure dans le Top 10 des vulnérabilités établi par l’OWASP depuis 2004 […] Selon un récent rapport de WhiteHat Security, une application Web a 47 % de chances de comporter au moins une vulnérabilité XSS."

 

Pour ma part, je suis resté un peu scotché que ce service s'investisse à expliquer à la communauté les problèmes liés à ce type de faille, mais en plus de distribuer gratuitement un script interne à son service.

 

Il faut croire que devant l'adversité tout le monde est égal.

 

Il nous parle de Blind XSS, un peu l'équivalent du blind SQL, appelé aussi "injection à l'aveugle".

 

Ce type d'attaque est dévastateur comme le montre le diagramme fourni par Netflix, puisqu'elle se stocke dans la BDD après avoir été exécutée par l'application puis se verse sur une 2e application avant d'atteindre l'utilisateur.

 

De ce fait, la cible n'étant plus l'application elle-même et le navigateur, l'attaque peut atteindre des employés, administrateurs,… sans distinction une fois déployée à travers la BDD.

 

Dernièrement, Bitdefender démontrait avec brio comment on pouvait utiliser une charge XSS sur Paypal.

 

Ils ont réussi à nous convaincre. Du coup, il nous présente leur framework Sleepy Puppy.

 

  • Evaluations décrivent des séances d'essais spécifiques et que l'utilisateur puisse éventuellement recevoir des notifications par courriel quand XSS problèmes sont identifiés pour ces évaluations.
  • Charges utiles(Payloads) sont des chaînes XSS à exécuter et peut inclure l'injection pleine gamme de XSS.
  • PuppyScripts sont généralement écrits en JavaScript et permettent de recueillir des informations sur où la charge utile exécutée.
  • Capture sont les captures d'écran et les métadonnées collectées par la valeur par défaut PuppyScript
  • Percepteur est un point de terminaison qui permet de se connecter éventuellement des données supplémentaires en dehors de la portée d'une capture traditionnelle.

 


Sleepy Puppy est hautement configurable, et vous pouvez créer vos propres charges utiles et PuppyScripts selon les besoins.

 

Les ingénieurs de sécurité peuvent exploiter le modèle d'évaluation de Sleepy Puppy pour catégoriser les charges utiles et de vous abonner à des notifications par courriel lorsque des événements de scripts Blind XSS sont déclenchés.

 

Sleepy Puppy expose également une API pour les utilisateurs qui veulent développer des plugiciels pour les scanners comme rot ou Zap.

 

Avec Sleepy Puppy l'injection est relayée pour une fois atteint sa cible envoyée par courriel les notifications et les captures. L'ingénieur en sécurité pourra ainsi mieux évaluer et comprendre le fonctionnement de l'attaque pour réagir promptement et sûrement.

 

http://vivageek.com/data/images/secu/pasted-image-0.png

 

Architecture

 

Sleepy Puppy utilise les composants suivants :

 

  • Python 2.7 avec flask (y compris un certain nombre de paquets d'assistance)
  • SQLAlchemy avec stockage back-end configurable
  • Éditeur Javascript ACE pour l'édition PuppyScripts
  • Html2Canvas JavaScript pour la capture d'écran
  • Utilisation facultative de AWS Simple Email Service (SES) pour les notifications par courrier électronique et S3 pour le stockage de la capture d'écran

 

 

Mise en route

 

Sleepy Puppy est maintenant disponible sur le site Open Source de Netflix. Vous pouvez essayer de Sleepy Puppy à l'aide de Docker. Des instructions détaillées sur l'installation et la configuration sont disponibles sur la page wiki.

 

Merci de m'avoir lu, à bientôt.

 

Source






 Geek me     Je suis un Geek dans l'âme. 18 ans à silloner internet pour récolter des informations afin de comprendre son fonctionnement. Idéalement j'étudie également le comportement humain.

C'est afin de vous partager mes connaissances que j'ai ouvert ce blog alors je vous souhaite une bonne lecture.



À lire également


Écrire un commentaire

Votre adresse de messagerie ne sera pas publiée.

Quelle est la troisième lettre du mot icgxh ? :