Sleepy Puppy la herramienta de Netflix para buscar bugs XSS

Este mes la compañia Netflix lanzó su herramienta open souce destinada a detectar XSS llamada tiernamente Sleepy Puppy, lo interesante que tiene la aplicación además de buscar fallos es que también nos muestra como explotarlos a través de payloads.

Sleepy Puppy está diseñada para simplificar el proceso de captura, gestión y seguimiento de ataques XSS durante un período de tiempo y en sesiones, permite categorizar a las inyecciones y cadenas XSS.

Además, se puede utilizar con una API para conectar a otras herramientas populares como BEef, PortSwigger BurpSuite Collaborator, ZAP Proxy, XSS.IO. El valor por defecto “PuppyScript”, es un script de Java que recopila información sobre metadatos, URL, DOM, user-agent, cookies, HTTP-Referer y permite capturas de pantalla de la aplicación donde se ejecutó el payload.

La herramienta está desarrollada en Python 2.7 con Flask, SQLAlchemy para el almacenamiento de información y Html2Canvas para realizar las capturas de pantalla. Sleepy Puppy está disponible en la Web de Netflix y viene configurado con un esquema de evaluación predeterminado.

Aquí les dejó el código fuente y también pueden hacerle fork en github.