Fortify漏洞之Denial of Service: Regular Expression

最新推荐文章于 2024-06-06 10:02:24 发布
最新推荐文章于 2024-06-06 10:02:24 发布
阅读量2k 收藏 1
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/meInfo/p/9141925.html
版权

  继续对Fortify的漏洞进行总结,本篇主要针对  Denial of Service: Regular Expression  漏洞进行总结,如下:

1、Denial of Service: Regular Expression

1.1、产生原因:

  实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。

 

示例:

(e+)+

([a-zA-Z]+)*

(e|ee)+

 

已知的正则表达式实现方法均无法避免这种攻击。所有平台和语言都容易受到这种攻击。

 

1.2、修复方案:

请不要将不可信赖的数据用作正则表达式。

 

实际修复方案:

 

在有正则表达式的地方调用下面提供的公共表达式过滤方法。

 

提供的公共的表达式过滤方法。(根据实际业务需求选择过滤的符号)

 

1.3、预防该漏洞的开发规范:

  1、对有使用正则表达式的地方应该进行公共过滤方法的调用。

转载于:https://www.cnblogs.com/meInfo/p/9141925.html

arkqyo2595
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FortifyVulnerabilityExporter:将Fortify漏洞数据导出到GitHub,GitLab,SonarQube等
04-07
Fortify漏洞出口商 介绍 使用快速构建安全软件。 Fortify提供了端到端应用程序安全性解决方案,可以灵活地测试本地和按需扩展和覆盖整个软件开发生命周期。 借助Fortify,您可以及早发现安全问题并以DevOps的速度进行修复。 FortifyVulnerabilityExporter允许将漏洞Fortify on Demand和Fortify软件安全中心导出到以下第三方产品和输出格式: 在将FortifyVulnerabilityExporter集成到SDLC中之前,请查看以下各节中的信息: 相关链接 下载: : 开发版本可能不稳定或无法正常运行。 *-thirdparty.zip文件仅供参考,不需要下载。 Docker映像: : //hub.docker.com/repository/docker/fortifydocker/fortify-vulnerabili
正则表达式Regular Expression
燕儿衔泥
01-07 260
正则表达式,又称规则表达式,它通常被用来检索、替换那些符合某个模式(规则)的文本。 在正式书写下面的内容之前,先安利一个非常好用的正则工具 详见https://jex.im/regulex/ 在JavaScript中使用正则表达式: var reg = /\bword\b/g (\b单词边界,g为进行全局匹配) var reg = new RegExp(’\bword\b’,‘g’) ...
防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器
最新发布
gitblog_00044的博客
06-06 525
防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器 项目地址:https://gitcode.com/jagracey/RegEx-DoS 在当今的网络安全环境中,防止服务中断变得越来越重要,尤其是由于 Regular Expression Denial of Service(ReDos)攻击引起的中断。ReDos 是一种利...
Java中使用正则表达式处理文本数据
12-13
本文将介绍如何在Java中使用正则表达式来处理文本数据。正则表达式就是一个字符串,但和普通的字符串不同的是,正则表达式是对一组相似字符串的抽象,如下面的几个字符串: a98b   c0912d   c10b   a12345678d   ab 我们仔细分析上面五个字符串,可以看出它们有一个共同特征,就是第一个字符必须是’a’或’c’,最后一个字符必须是’b’或’d’,而中间的字符是任意多个数字组成(包括0个数字)。因此,我们可以将这五个字符串的共同特点抽象出来,这就产生了一个正则表达式:[ac]\\d*[bd]。而根据这个正则表达式,我们可以写出无穷多个满足条件的字符串。 在Java中使
浅析ReDoS的原理与实践
weixin_34150224的博客
10-18 818
转载于http://www.freebuf.com/articles/network/124422.html ReDoS(Regular expression Denial of Service)正则表达式拒绝服务攻击。开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器...
利用重做
weixin_26636643的博客
09-27 296
Regex is everywhere on the Internet nowadays. Regex如今在Internet上无处不在。 From input validation code, web application firewalls, to malware detection rules, regex is becoming one of the most important cyb...
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 2395
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
Regular Expression Matching
angelewings的专栏
11-04 391
首先明确一点s中是没有*和.的
fortify安全基础知识 不同语言软件安全漏洞
05-27
Fortify作为一款强大的静态代码分析工具,被广泛用于检测不同编程语言的软件安全漏洞。本篇将详细介绍软件安全的基础知识,以及Java、CC++和dotNET这三种语言的软件安全漏洞类型。 首先,软件安全基础知识主要包括...
fortify-integration-sonarqube:Fortify SonarQube插件
05-27
器通过将Fortify on Demand和Fortify软件安全中心(SSC)的漏洞数据导出到可以由SonarQube导入的文件中来提供替代集成。 此轻量级集成基于SonarQube 7.2引入的,专门针对导入第三方分析结果。 确实有一些限制。 下...
Fortify解决方案手册(中文版).zip
06-16
Fortify解决方案手册(中文版)是一份详细的指南,专门针对使用Fortify和瑞云等工具在代码扫描过程中发现的安全漏洞提供解决方案。这份手册共计244页,全中文内容,旨在帮助开发人员和安全专家更好地理解和修复代码中...
Fortify:旨在使Fortify报告对客户更具可读性
05-01
由于客户看不到Fortify FPR报告,因此导出的PDF报告可能太复杂而使客户迷路。 开发fpr2xlsx.py的目的是帮助客户更好地了解Fortify报告。 脚本需要安装Python xlsxwriter库。 只需一个参数(--input或-i)来选择fpr...
八、node 错误汇总
Daniel的博客
09-02 1857
vue使用时提示有漏洞,那么就是直接按照后面提示的命令npm audit fix 就可以解决,所以只需要按照提示 npm audit fix。如果之后还会有报错,请清除缓存~
正则表达式的灾难性回溯
baidu_27487573的博客
06-11 4927
最近项目上在做Fortify安全漏洞扫描。其中有一项漏洞扫描规则为:Denial of Service: Regular Expression。是由于正则表达式带来的DOS攻击。       由于Fortify的扫描不够绝对的智能,因此,它将所有出现了正则表达式的代码,甚至String.split(regex)统统认为有正则表达式带来的DOS攻击风险。        项目上有很多同事来询问该扫
正则表达式攻击实例 Regular Expressions Denial of Service
江湖小虾米
08-26 8636
实测数据如下: 30个a,耗时175毫秒 35个a,耗时950毫秒 40个a,耗时11242毫秒
ReDoS初探
zoetu
05-17 1189
ReDoS初探,什么样的正则表达式会引起正则表达式攻击?
正则表达式 regular expression(一)
jiahchen的博客
04-28 657
注:本文内容为摘自Mastering regular expressions(《精通正则表达式》)的笔记 。   1. 正则表达式是一种通用的模式语言(generalized pattern language),是强大的文本处理工具。   2.
ReDoS防范
阳光男孩的专栏
03-12 5929
ReDoS--Regular expression Denial of Service,即正则表达式拒绝服务攻击。当开发人员使用了正则表达式来对用户输入的数据进行合法性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止
private List<String> handleUrl(List<String> urlList){ List<String> urls = new ArrayList<>(); int size = urlList.size(); for (int i=0; i<size; i++) { if (!StringUtils.isEmpty(urlList.get(i))) { String url = urlList.get(i); String nodeIp = url.split("\\/")[3]; if (mapNodeBeIp.containsKey(nodeIp)) { nodeIp = StringFilter(nodeIp);//过滤特殊字符 url = url.replaceAll(nodeIp, mapNodeBeIp.get(nodeIp)+dorisPort); url = url.replaceAll("file:///","http://"); url = url.replaceAll("/apprun/doris/be/www",""); } urls.add(url + i +".csv"); } } return urls; } 是否存在Fortify漏洞Denial of Service: Regular Expression
06-08
根据您提供的代码,可能存在Fortify漏洞Denial of Service: Regular Expression。 在该代码中,使用了正则表达式来处理url字符串,特别是在以下代码中: ``` String nodeIp = url.split("\\/")[3]; ``` 如果攻击者提供了恶意输入,可能导致计算量急剧增加,最终导致应用程序崩溃或无法响应。 为了修复这种漏洞,应用程序开发人员可以使用限制时间的正则表达式匹配,以避免在处理大量输入数据时,导致应用程序崩溃或无法响应。例如,可以使用POSIX标准的timeout选项,设置正则表达式匹配的最长时间。同时,也应该对所有的输入进行有效的验证和过滤,以确保输入数据的合法性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值