tadamichi - Fotolia
Netflix ouvre son outil de protection contre les XSS
Le service de vidéo à l’abonnement vient de mettre à la disposition de tous Sleepy Puppy, son framework de protection contre les vulnérabilités de scripting inter-sites.
Netflix vient de rendre public Sleepy Puppy, son framework de prévention et de remédiation des vulnérabilités liées au scripting inter-sites, ou cross-site scripting (XSS).
Dans un billet de blog, le service de vidéo à l’abonnement explique son initiative : « XSS figure dans le Top 10 des vulnérabilités établi par l’OWASP depuis 2004 […] Selon un récent rapport de WhiteHat Security, une application Web a 47 % de chances de comporter au moins une vulnérabilité XSS ». Et de rappeler que ces vulnérabilités permettent à un attaquant de forcer l’exécution de scripts arbitraire par le navigateur Web de sa victime, le simple visiteur d’un site Web compromis.
Et le hasard du calendrier de renforcer le propos de Netflix : Bitdefender vient d’affirmer avoir découvert une vulnérabilité XSS permanente dans le site Web de… PayPal !
De son côté, le service de vidéo à l’abonnement entend, avec son framework, proposer des éléments complémentaires aux systèmes de prévention et découverte des vulnérabilités XSS classiques, notamment en proposant de quoi organiser des tests XSS au-delà de la seule application visée par le test.
Sleepy Puppy permet ainsi de configurer des sessions de test et de gérer et personnaliser les charges utiles pour les simulations XSS. Le framework propose des scripts de collecte des informations sur l’exécution de la charge utile. Le script par défaut génère captures d’écran et métadonnées. Le tout est basé sur Python 2.7, notamment.
C’est loin d’être la première fois que Netflix ouvre à tous l’un de ses outils de sécurité. Début mai, le service a ainsi ouvert Fido, son outil interne de réaction automatisée aux incidents de sécurité.
En août 2014, il s’agissait de trois outils de renseignement sur les menaces de sécurité à partir de sources ouvertes. Un peu plus tôt, la plateforme de vidéo à la demande, qui n’est autre que le plus gros client d’Amazon AWS, avait rendu public Security Monkey, l’outil qu’il a développé pour disposer d’un meilleur aperçu des changements et des risques de sécurité dans son environnement AWS.