El servidor tarda 30 segundos en responder a una solicitud simple. DoS?

3

Estoy probando una aplicación web y noté que al convertir una solicitud GET particular en una solicitud POST, el servidor tarda unos 30 segundos en responder y luego devuelve una página de error genérica (en comparación con la solicitud GET original que llevó al servidor a una 300 ms para responder).

¿Cuáles son las posibilidades de que esto pueda usarse para un ataque DoS y qué tan grave sería?

Lo pregunto porque estoy dudando en enviar este error al propietario de la aplicación que está ejecutando un programa de recompensas de errores, ya que quiero evitar comentarios negativos / reputación.

    
pregunta pineappleman 04.12.2016 - 01:25
fuente

1 respuesta

5
  

¿Cuáles son las posibilidades de que esto pueda usarse para un ataque DoS y cómo   serio seria eso?

Las posibilidades son buenas. Si una solicitud especialmente diseñada provoca un tiempo de espera inusualmente largo, es un buen indicador de que está ocupando un hilo en el servidor y encontró un posible vector de ataque de denegación de servicio. Los errores de DoS a menudo se pasan por alto en las aplicaciones web, pero hay varias formas en que pueden ocurrir ( Ataques de comodín SQL , solicitudes de red pendientes, etc.). En muchos marcos web se han publicado avisos sobre fallas de DoS, como éste para Wordpress.

La gravedad, obviamente, depende del servicio que están ejecutando. Una pequeña tienda web podría perder algunos clientes potenciales; por otro lado, para un sitio de comercio de bitcoin podría resultar en una gran pérdida de dinero.

  

Lo pregunto porque estoy dudando en enviar este error al propietario de la aplicación   ¿Quién está ejecutando un programa de recompensas de errores, ya que quiero evitar negativos   retroalimentación / reputación.

Los programas Bug Bounty a menudo excluyen explícitamente las vulnerabilidades DoS de su alcance. Pero eso no significa que no estén interesados, más bien, los proveedores a menudo tienen miedo de alentar ataques que probablemente afecten sus servicios (lo que claramente hace un DoS).

Todavía lo informaría. Los BBP han recompensado fallas de DoS en el pasado, por ejemplo aquí o aquí . Aclararía que no ha estado buscando activamente errores de DoS, pero encontró un comportamiento que indica claramente que podría haber un vector de ataque DoS. Estoy seguro de que les interesa echarle un vistazo a esto si te reconocen como un investigador responsable.

También hay esta guía OWASP sobre pruebas de vulnerabilidades DoS, pero como he dicho, no lo haría < em> activamente hacerlo sin permiso. Esa no sería la primera vez que alguien sea expulsado de un BBP .

    
respondido por el Arminius 04.12.2016 - 01:49
fuente

Lea otras preguntas en las etiquetas