|
Título: ReDoS Publicado por: Shell Root en 23 Agosto 2010, 05:16 am ReDoS, denegaciones de servicio en la validación de expresiones regulares. Lo que no entiendo es lo siguiente, investigando un poco a cerca de lo que es ReDoS, me dí cuenta de que provoca una denegación de servicio en el navegador -por así decirlo-, produciendo un mensaje de alerta preguntando si quieres detener el script. Entonces, porque cuando se realizo la auditoría de seguridad hacia simple machines forum, para ser más exactos aquí (http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html;msg1358106#msg1358106), el sr. sirdarckcat, encontro un ReDoS en htmltrim, hasta aquí vamos bien, la duda es que, porque no provoco la denegación en el navegador, sino que produjo un un bypassing -por así decirlo-.
Título: Re: ReDoS Publicado por: cgvwzq en 23 Agosto 2010, 08:45 am El ReDoS de sdc estaba en la aplicación PHP, de modo que lo ejecutaba el servidor. Si estas haciendo las pruebas en javascript, el que va a hacer el trabajo duro es tu navegador.
El navegador se da cuenta de cuándo se produce una situación así y permite detener el script, el php en lugar de eso actuaba suprimiendo 3 carácteres (si no recuerdo mal). Básicamente, una regexp se ejecuta en el lado del cliente y la otra en la del servidor... ¿Es esto lo que te pasaba? ~.^ Título: Re: ReDoS Publicado por: Shell Root en 24 Agosto 2010, 02:34 am Bueno, tienes razón porque se tiltaba el navegador porque esta usando javascript, pero ahora quiero ver como es que se realiza el bypassing en php.
|