reDoS - Denegación de Servicios con Expresiones Regulares

Últimamente el termino Denegación de Servicio, cada vez se vuelve mas popular, posiblemente la masificación de las famosas botnets sean causantes de esto. Existen muchos tipos de ataques de Denegación de Servicio o DoS (Denial of Service), cuyo principal objetivo es atentar contra uno de los 3 pilares sobre los que se basa la seguridad de la información. La Disponibilidad.

En esta ocasión les traigo un texto bastante interesante que nos habla sobre un nuevo tipo de DoS, la Denegación de Servicio en la validación de Expresiones Regulares, o lo que se conoce por reDoS.

El reDoS, fue presentado por primera vez en el año 2009 durante la Open Web Application Security Project (OWASP) Israel Conference. En esa presentación se explicaba como una expresión regular pobremente escrita podía ser explotada para realizar un DoS.

Los dejo entonces con el paper sobre reDoS, escrito por David Kotriksnov, mas conocido en la red como SH4V

Si deseas descargar este paper, puedes hacerlo por medio de este enlace.

Mas Información:
Regular expression Denial of Service - ReDoS

OSSTMM cerca de ser oficialmente aceptada por la ISO
Subir

¡No te pierdas el CONGRESO DE HACKERS - DragonJAR Security Conference! ¡Regístrate ahora!