[# TFS2010] Regular expression fuzzing tool (death on a single line)



I am no friend of the regular expressiones, it is probably because except the simplest, they tend to be a hell of characters in a single line that can save you work but give you more than one headache. Also added to the number of examples on the internet of different regex for all kinds of scenarios, because things can go very wrong almost without realizing.

¿Why it can go wrong?, because because more that seems it not, solving a RegExp, it must be processed the same and this process, depending on the input data may give rise to very long process times or inclisve memory leaks.

¿What now you looks so nice that copying a line of internet and put it in your code?

The MSDN Magazinearticle: “Regular Expression Denial of Service Attacks and proactive” deals with this topic and also shows how bad RegExp implementation can lead to DoS attacks.

In addition, the results of an evaluation of a RegExp we can create a bug directly in Team Foundation Server 2010. This tool is part of SDL (Security Development Lifecycle) and integration with TFS is minimal, us allows create Bugs in Team Foundation Server.

For example, if we analyze the RegExp “^(\d|\d?)”+$“, with one of the more ugly forms I’ve seen in a long time “:


From it we can create a Bug in our Team Project


with the fields:

Title: Exponential execution time in regular expression pattern ^(\d|\d?)+$

Description: The regular expression pattern ^(\d|\d?)+$ can operate in a worst – case exponential execution time, potentially causing a denial of service to the application.

and leave it as a point to be solved without it slip Open-mouthed smile

So now you know, before using a RegExp, give a review with this tool to analyze vulnerabilities.


Greetings @ Here

The Bruno


Download: http://www.microsoft.com/download/en/details.aspx?id=20095

Reference: http://msdn.microsoft.com/en-us/site/ff646973

Security Development LifeCyclehttp://blogs.msdn.com/b/sdl/archive/2010/10/12/new-tool-sdl-regex-fuzzer.aspx

[#TFS2010] Regular expression fuzzing tool (muerte en una línea)



yo no soy muy amigo de las expressiones regulares, seguramente es porque salvo las más simples, suelen ser un infierno de caractéres en una single line que pueden ahorrarte trabajo pero darte más de un dolor de cabeza. Además sumado a la cantidad de ejemplos que hay en internet de diferentes expresiones regulares para todo tipo de escenarios, pues la cosa puede ir muy mal casi sin darte cuenta.

¿Por qué puede ir mal?, pues porque por más que no lo parezca, para resolver una RegExp, hay que procesar la misma y este proceso, dependiendo del dato de entrada puede dar lugar a tiempos de proceso muy largos o inclisve memory leaks.

¿A qué ahora no te parece tan bonito eso de copiar de internet una línea y ponerla en tu código?

El artículo de la MSDN Magazine: “Regular Expression Denial of Service Attacks and Defenses” trata este tema y además nos muestra como la mala implementación de RegExp puede llevar a ataques DoS.

Además, a partir del resultado de una evaluación de una RegExp podemos crear un bug directamente en Team Foundation Server 2010. Esta herramienta es parte de SDL (Security Development Lifecycle) y si bien la integración con TFS es mínima, nos pemite crear Bugs en Team Foundation Server.

Por ejemplo si analizamos la RegExp “^(\d|\d?)+$”, con uno de los formularios más feos que he visto en mucho tiempo:


A partir de la misma podremos crear un Bug en nuestro Team Project


con los campos:

Title: Exponential execution time in regular expression pattern ^(\d|\d?)+$

Description: The regular expression pattern ^(\d|\d?)+$ can operate in a worst-case exponential execution time, potentially causing a denial of service to the application.

y dejarlo como un punto a solucionar sin que se nos escape Open-mouthed smile

Asi que ya sabes, antes de utlizar una RegExp, darle un repaso con esta herramienta para analizar vulnerabilidades.


Saludos @ Here

El Bruno


Descarga: http://www.microsoft.com/download/en/details.aspx?id=20095

Referencia: http://msdn.microsoft.com/en-us/site/ff646973

Security Development LifeCycle: http://blogs.msdn.com/b/sdl/archive/2010/10/12/new-tool-sdl-regex-fuzzer.aspx

[ALM] About Gandalf, Frodo, poorly written user stories and little communication in a team


a pile of years ago, thanks to my friend the skinny fell into my hands certificate JRR Tolkien’s The Hobbit . As it was a kind of new reading for me, a couple of days the 324 pages of the book had been deboradas, and then the skinny provided me the Lord of the ringsfilm trilogy, but the thing here was not so well.

In the first place by the number of pages that have the librakos. Let’s see, I understand that many stories are parallel at the same time requires space, but so many kilograms of weight for a ring that you can get € 20 online without shippingseems crazy.

Secondly: the forests. I know that it is a topicazo, but I swear that after reading more than 40 pages describing a fuckingforest of trees, I so tired. I have to admit that until a few months ago in a trip to Canada, my knowledge about trees were reduced to distinguish them:

  • tree
  • Pine
  • Palm

In Canada they tried to learn concepts such as willow, eucalyptus, etc.; but I am convinced that with tree, pine and Palm tree can throw another 30 years without any problem.

Finally, bad planning, especially the Gandalf that. It is incredible that an immortal, with the wisdom that has accumulated during centuries, one of the most difficult of all time campaigns, to the front to 4 hobbits. Beware, I have nothing againstFrodoSamMerry and Pippin; Moreover I very well fall this kind of people. Always willing to take a jug of beer in their hands and singing party songs. We are are a few types of more sympathetic. But there, to put in their hands the fate of Middle-Earth, because I think a bestial planning failure. If instead of 4 hobbits, you give the ring to a Navy Seal, or something similar at that time, because you have a story of 40 pages.

If this had been a computer science project, because I guess that Gandalf would have created the following history of user and ready to shoot miles:

I as an inhabitant of Middle-Earth

I wish to destroy the ring this here

to not be afraid to the eye of Sauron

Ball point! With this and a good speech, the white/grey Wizard embauca 4 or 5 different races to take a ring to Mordor, where on the internet in 4 or 5 days is ready.


Moreover, that that it was grey, stuck a bath and then was white, block not too. At first glance it seems that there was no good dialogue with the members of the team, or that the hobbits were not very savvy say because that would have happened if the following dialog:

FrodoGandalf, is what you’re one of the most powerful magicians?

Gandalf: it is not good for much, but yes, I am a magician of the good, good.

Frodo: and what you did last year, riding on a Giant Eagle, it can always do?

Gandalf: an eagle, a Falcon, a good Dragon; It depends on the day.

Frodo: for example an eagle, that autonomy does?, could reach Mordor? to mount the destination?

Gandalf: the Eagles are cool che, come to Mordor and further still.

Frodo: and are you happened grab the ring, get the Eagle, flying up to the mountain of fate…? well since I understand Open-mouthed smile

Note: in this video you can summarize 9 hours of film in 2 minutes.

So you know, like teaching of over 1200 pages and more than 9 hours of films:

  • Always well write your user stories.

It is important that the same reflect objectives do that they can be carry out in say, one or 2 weeks and can also be tested

  • Speech and communicate with your computer.

Don’t be afraid to ask questions difficult or little pleasant. Generally speaking, these questions at the beginning of a project, are easier to solve at the end of the same.


Greetings @ Here

The Bruno


[ALM] Sobre Gandalf, Frodo, las historias de usuario mal redactadas y la poca comunicación en un equipo


hace una pila de años, gracias a mi amiga la flaca cayó en mis manos El Hobbit de JRR Tolkien. Como era un tipo de lectura nueva para mí, pues en un par de días las 324 páginas del libro habían sido deboradas, y en ese momento la flaca me prestó la trilogía del Señor de los Anillos, pero aquí la cosa no fue tan bien.

En primer lugar por la cantidad de páginas que tienen los librakos. A ver, que yo entiendo que contar tantas historias paralelas al mismo tiempo requiere espacio, pero tantos kilogramos de peso para un anillo que se puede conseguir a €20 en internet sin gastos de envío me parece una locura.

En segundo lugar: los bosques. Ya sé que es un topicazo, pero juro que después de leer más de 40 páginas describiendo un puto bosque de arbolitos, pues me cansaba. He de admitir que hasta hace unos meses en un viaje a Cánada, mis conocimientos sobre árboles se reducían a saber diferenciarlos entre:

  • árbol
  • pino
  • palmera

En Cánada intentaron que aprenda conceptos como sauce llorón, eucalipto, etc.; pero estoy convencido que con árbol, pino y palmera puedo tirar otros 30 años sin ningún problema.

Finalmente, la mala planificación, especialmente el Gandalf ese. Es increíble que un inmortal, con la sabiduría que ha acumulado durante siglos, frente a una de las campañas más difíciles de todos los tiempos, ponga al frente a 4 hobbits. Que ojo, yo no tengo nada contra Frodo, Sam, Merry o Pippin; es más me caen muy bien este tipo de personas. Siempre dispuestas a tener una jarra de cerveza en sus manos, y cantando canciones de fiesta. Vamos que son unos tipos de lo más simpáticos. Pero de ahi, a poner en sus manos el destino de la tierra media, pues me parece una falla de planificación bestial. Si en lugar de 4 hobbits le das el anillo a un Navy Seal, o a algo similar en esa época, pues te queda un cuento de 40 páginas.

Si este hubiese sido un proyecto de informática, pues supongo que el Gandalf hubiese creado la siguiente historia de usuario y listo, a tirar millas:

Yo como un habitante de la tierra media

deseo destruir el anillo este de aquí

para no tener miedo al ojo de Sauron

¡Punto pelota! Con esto y un buen speech, el mago blanco/gris embauca a 4 o 5 razas diferentes para llevar un anillo hasta Mordor, cuando por internet en 4 o 5 días está listo.


Además, eso de que era gris, se pegó un baño y después fué blanco, tampoco cuadra demasiado. A simple vista parece que no había buen diálogo con los integrantes del equipo, o que los hobbits no eran muy avispados que digamos porque que hubiese pasado si se da el siguiente diálogo:

Frodo: Gandalf, ¿es cierto qué sos uno de los magos más poderosos?

Gandalf: bueno no es para tanto, pero sí, soy un mago de los buenos, buenos.

Frodo: y eso que hiciste el año pasado, de montar en un águila gigante, ¿lo podes hacer siempre?

Gandalf: en un águila, un halcón,  un buen dragón; depende del día.

Frodo: y por ejemplo un águila, ¿que autonomía tiene?, ¿podría llegar hasta Mordor? ¿hasta el monte del destino?

Gandalf: las águilas molan che, llegan hasta Mordor y más lejos aún.

Frodo: y no se te ha ocurrido agarrar el anillo, subirte al águila, volar hasta el monte del destino … ? bueno ya me entendes Open-mouthed smile

Nota: en este video podes resumir 9 horas de película en 2 minutos.

Así que ya sabés, como enseñanza de las más de 1200 páginas y las más de 9 horas de películas:

  • Siempre redacta bien tus historias de usuario.

Es importante que las mismas reflejen objetivos realizas que puedan ser llevamos a cabo en digamos una o 2 semanas y que además puedan ser testeados

  • Habla y comunicate con tu equipo.

No tengas miedo de hacer preguntas difíciles o poco agradables. Por lo general, estas preguntas hechas al principio de un proyecto, son más fáciles de solucionar que al final del mismo.


Saludos @ Here

El Bruno


[# TFS2010] Introduction to Team Foundation Server 2010 Training Kit



a few days ago the friends evangelists from microsoft, launched a new training kit, this time aimed at those people who want to know from zero Team Foundation Server. I say this from scratch, because the contents are of a very basic level;from how to protect a file in the source code repository, to create a work item or create a query of WorkItems. That’s why the name is

Introduction to Team Foundation Server 2010 Training Kit

What I liked is see that for the creation of their own Training Kits, they have used Team Foundation Server. It is good to deny that that House of blacksmith stick knife .



Greetings @ Here

The Bruno


Download: http://www.microsoft.com/download/en/details.aspx?id=27152

[#TFS2010] Introduction to Team Foundation Server 2010 Training Kit



hace unos días, los amigos evangelistas de microsoft, lanzaron un nuevo training kit, esta vez dirigido a aquellas personas que quieren conocer desde cero Team Foundation Server. Digo desde cero, porque los contenidos son de un nivel muy básico; desde como proteger un archivo en el repositorio de código fuente, hasta como crear un elemento de trabajo o crear una consulta de WorkItems. Es por eso que el nombre es

Introduction to Team Foundation Server 2010 Training Kit

Lo que si me ha gustado es ver que para la creación del propio Training Kit, han utilizado Team Foundation Server. Eso viene bien para desmentir eso de que en casa de herrero cuchillo de palo.



Saludos @ Here

El Bruno


Descarga: http://www.microsoft.com/download/en/details.aspx?id=27152

[English] Visual Studio 2010 ALM


Team Foundation Server 2010

WorkItem Tracking


Source Control


Team Build








Client Object Model




Team Web Access






TFS Integration


Visual Studio 2010


Visual Studio Gallery




Greetings @ Here

El Bruno