保護DataHogo
Enciclopedia de Seguridad/Serverless y Cloud
mediumCWE-400A05:2021

Abuso de Timeout de Función

Las funciones serverless sin timeout configurado pueden mantenerse corriendo indefinidamente con requests maliciosas, drenando tu presupuesto.

Cómo Funciona

Los proveedores cloud cobran por milisegundo de ejecución. Sin un timeout, un atacante puede mandar una request lenta que mantiene tu función viva por el límite máximo de la plataforma (15 minutos en Lambda). Multiplica eso por invocaciones concurrentes y tienes un ataque de denial-of-wallet.

Código Vulnerable
// MAL: serverless.yml sin timeout — por default puede ser 900s en AWS
functions:
  api:
    handler: src/handler.main
    # sin timeout configurado
Código Seguro
// BIEN: establece un timeout justo para el trabajo esperado de la función
functions:
  api:
    handler: src/handler.main
    timeout: 10  # segundos — falla rápido si algo se cuelga

Ejemplo Real

Una startup reportó una factura de $2,300 USD en AWS en un solo día después de que un bot empezó a mandar requests lentas que mantenían sus funciones Lambda abiertas por el timeout máximo de 900 segundos.

Cómo Prevenirlo

  • Establece timeouts explícitos en cada función — nunca dependas de los defaults de la plataforma
  • Pon el timeout un poco por encima de tu tiempo de ejecución p99, no el máximo de la plataforma
  • Habilita AWS Lambda Concurrency Limits o equivalente para limitar ejecuciones paralelas
  • Configura alertas de facturación para detectar picos de costo inesperados temprano

Tecnologías Afectadas

aws-lambdavercelcloudflare-workers

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Roles IAM Sobre-privilegiados

medium

Darle a funciones serverless o servicios más permisos IAM de los necesarios convierte una brecha menor en un compromiso total de la cuenta.

CWE-269A01:2021

Variables de Entorno en Logs

high

Loguear process.env vuelca todos tus secrets — API keys, contraseñas de base de datos, claves de firma — directamente en tu sistema de logs.

CWE-532A09:2021

Estado Compartido en /tmp

medium

Las funciones serverless reutilizan entornos de ejecución entre invocaciones, por lo que archivos sensibles escritos en /tmp pueden ser leídos por requests posteriores de otros usuarios.

CWE-377A02:2021

Fuga de Estado en Cold Start

medium

Las variables globales en funciones serverless persisten entre invocaciones en el mismo entorno de ejecución, filtrando datos de usuarios entre requests.

CWE-400A02:2021