Le Cross-site Scripting, ou XSS est une technique d'attaque informatique consistant à injecter du contenu dans une page Web, généralement du code JavaScript, afin d'exécuter des actions dans un navigateur qui visite la dite page.

L'action peut impacter l'utilisateur du navigateur client, mais peut aussi impacter le côté serveur. En témoigne deux failles XSS récemment découvertes dans Paypal. La première pouvant aboutir à ce qu'un visiteur télécharge des fichiers malveillants, la seconde pouvait résulter en des modifications de sommes payées, et même servir à faire des transferts de fonds entre compte Paypal.

Traquer les failles XSS est difficile. Car comme le nom l'indique, une faille XSS concerne en général plusieurs sites. Comme le fait remarquer Netflix, le chercheur en sécurité qui veut repérer des failles XSS n'analyse que le code de son application. Mais le code qui pourrait y être injecté peut provenir d'une toute autre application.

C'est le propos de Sleepy Puppy que d'aider aux tests inter-applications. Pour cela des morceaux de code JavaScript sont suivis dans leurs invocations de l'application Sleepy Puppy qui repose elle essentiellement sur Python 2.7.

Si ces morceaux de code sont invoqués par un utilisateur différent, se produisent dans une application différente, ou s'ils se produisent longtemps après un test initial, la présence d'une faille XSS peut être déduite.

Le framework fournit alors des informations complètes : URL impliqués, user-agent, cookies locaux, éventuellement même une capture d'écran de l'application impliquée.

Sleepy Puppy peut être téléchargé sur GiHub.