Pour gérer vos consentements :
Categories: DéveloppeursDSILogicielsOpen SourcePolitique de sécuritéProjetsSécurité

Avec Sleepy Puppy, Netflix traque les failles XSS inter-applications

Décidément Netflix est un réservoir à projet Open Source dans le domaine de la sécurité. Pour garantir une expérience utilisateur 100% sécurisée et protéger en même temps son infrastructure IT, le spécialiste de VOD multiplie les initiatives dans ce domaine. De FIDO (orchestration de la sécurité) à Simian Army (sécurité et résilience d’AWS) en passant par le triptyque Scubmlr, Worflowable et Sketchy (anti DDoS), c’est au tour de Sleepy Puppy de se découvrir.

Il s’agit d’un outil de test qui donne aux développeurs et aux administrateurs les capacités de traquer les failles de cross-scripting (XSS) y compris sur des applications tierces. Fruit de deux ingénieurs de Netflix, Scott Behrens et Patrick Kelley, Sleepy Puppy envoie des charges pour diagnostiquer la propagation de la vulnérabilité à travers les applications. Une initiative bienvenue car en général les outils d’audit gratuit réalise leur test en local. Or dans ce cas, les tests sont réalisés sur des applications tierces qui s’appuient sur l’application locale, via des API ou des modules internes qui partagent les bases de données. Les administrateurs peuvent ainsi suivre la propagation XSS au sein du système IT.

Un tableau de bord très complet

Les scripts XSS de tests (cf schéma ci-dessous), nommé PuppyScripts, accordent aux développeurs le soin de suivre en profondeur certains détails, comme l’URL où la faille a été exécutée, le domaine de la page contenant la charge, le User Agent du navigateur, les cookies locaux, information sur les headers référents et même une capture d’écran de l’application où la charge est exécutée. Si cette faille nécessite du temps pour accomplir ses effets et se propager, Sleepy Puppy dispose d’un système de notification par mail. L’outil de test fonctionne par ailleurs sur les applications « containerisées » sous Docker.

A noter que le code source de cet outil est disponible sur Git Hub.

A lire aussi :

Netflix sera bientôt à 100% Cloud

Des pots de vin de fournisseurs IT à la DSI de Netflix ?

Share
Published by
Jacques Cheminat
Tags: fidoNetflixopen sourceXSS
9 années ago

Recent Posts

Le Réseau interministériel de l’État, sujet à dépendance

La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…

12 heures ago

Etalab en position de faiblesse au sein de la Dinum

La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…

14 heures ago

Une Dinum « balbutiante » sur l’open data et les logiciels libres

Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…

16 heures ago

Pour son premier LLM codeur ouvert, Mistral AI choisit une architecture alternative

Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…

1 jour ago

Microsoft x Inflection AI : l’autorité de la concurrence britannique lance son enquête

L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…

2 jours ago

Thomas Gourand, nouveau Directeur Général de Snowflake en France

Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…

2 jours ago