¿Cuáles son las posibilidades de que esto pueda usarse para un ataque DoS y cómo
serio seria eso?
Las posibilidades son buenas. Si una solicitud especialmente diseñada provoca un tiempo de espera inusualmente largo, es un buen indicador de que está ocupando un hilo en el servidor y encontró un posible vector de ataque de denegación de servicio. Los errores de DoS a menudo se pasan por alto en las aplicaciones web, pero hay varias formas en que pueden ocurrir ( Ataques de comodín SQL , solicitudes de red pendientes, etc.). En muchos marcos web se han publicado avisos sobre fallas de DoS, como éste para Wordpress.
La gravedad, obviamente, depende del servicio que están ejecutando. Una pequeña tienda web podría perder algunos clientes potenciales; por otro lado, para un sitio de comercio de bitcoin podría resultar en una gran pérdida de dinero.
Lo pregunto porque estoy dudando en enviar este error al propietario de la aplicación
¿Quién está ejecutando un programa de recompensas de errores, ya que quiero evitar negativos
retroalimentación / reputación.
Los programas Bug Bounty a menudo excluyen explícitamente las vulnerabilidades DoS de su alcance. Pero eso no significa que no estén interesados, más bien, los proveedores a menudo tienen miedo de alentar ataques que probablemente afecten sus servicios (lo que claramente hace un DoS).
Todavía lo informaría. Los BBP han recompensado fallas de DoS en el pasado, por ejemplo aquí o aquí . Aclararía que no ha estado buscando activamente errores de DoS, pero encontró un comportamiento que indica claramente que podría haber un vector de ataque DoS. Estoy seguro de que les interesa echarle un vistazo a esto si te reconocen como un investigador responsable.
También hay esta guía OWASP sobre pruebas de vulnerabilidades DoS, pero como he dicho, no lo haría < em> activamente hacerlo sin permiso. Esa no sería la primera vez que alguien sea expulsado de un BBP .