Web-Sicherheit

März 2, 2011

Aufspüren von ReDoS-Schwachstellen

Filed under: Allgemein — sebastiankuebeck @ 08:57
Tags: , , , ,

Mit ReDoS wird eine spezielle Form von Denial of Service bezeichnet, welche reguläre Ausdrücke benutzt, um Webanwendungen und andere Systeme, die reguläre Ausdrücke benutzen, lahmzulegen.

Der Hintergrund ist, dass manche regulären Ausdrücke die Bibliothek, die diese Ausführt, dazu veranlasst, enorm viel Rechenzeit für diese Ausführung zu verbraten. Das ganze funktioniert allerdings nur mit speziellen Ausdrücke und für speziell dafür angepassten Eingabedaten. So führt folgender Ausdruck mit den darauffolgenden Eingabedaten dazu, das die Ausführung „einfriert“:

(a+)+
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaX

Ich habe mich in letzter Zeit mit dem Thema näher beschäftigt und ein Werkzeugt entwickelt, mit dem man diese Schwachstellen automatisch und in vertretbarer Zeit aufspüren kann. Dazu habe ich auf meinem englischsprachigen Blog zwei Artikel verfasst, die das Verfahren beschreiben und anderen Verfahren gegenüberstellt:

Detecting and Preventing ReDoS Vulnerabilities
Detecting and Preventing ReDoS Vulnerabilities, Part 2

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: