Plus tôt une présentation était dédiée à une vulnérabilité 0-Day dévoilée au mois de novembre et permettant une attaque par déni de service, concernant quasiment toutes les applications Web, en particulier PHP et ASPNET qui sont les plus utilisées. Cette vulnérabilité permet de forcer les applications Web à avoir recours à 99% de la CPU
►http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html
Cette présentation complexe quand on ne pratique pas la HASH table au quotidien était, même sans être bon développeur, une très belle illustration de la dialectique qui relie la découverte des vulnérabilités, leur exploitation et leur correction par des patchs. Une explication détaillée et très claire est déjà disponible chez Cryptoanalysis
►http://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos
A suivre chez @hashdos ; @zeri42 et @alech
Cette vulnérabilité « facile à exploiter » peut permettre un déni de service sur la quasi-totalité des sites (sauf PERL qui l’a corrigée en 2003, Ruby qui travaille à un correctif avec les chercheurs ayant fait la présentation). A noter que pour PHP en l’état pas de correctif complet mais un simple contournement. Comme ont conclu les chercheurs, un outil de choix pour les #Anonymous qui sauraient l’exploiter ; ils ont d’ailleurs suggérer comme titre possible à leur présentation #occupyCPU