防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器

于 2024-06-06 10:02:24 发布
阅读量554 收藏 16
点赞数 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00044/article/details/139491733
版权

防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器

RegEx DoS Banner

在当今的网络安全环境中,防止服务中断变得越来越重要,尤其是由于 Regular Expression Denial of Service(ReDos)攻击引起的中断。ReDos 是一种利用不安全正则表达式实现的服务拒绝攻击,它可以使应用程序在处理特定输入时消耗大量资源,从而导致性能下降甚至完全崩溃。

项目简介

RegEx DoS Scanner 是一个强大的工具,旨在帮助开发者发现并修复易受 ReDos 攻击的正则表达式。通过这个工具,你可以快速扫描 JavaScript 文件中可能存在的潜在问题,确保你的应用不会成为恶意用户的攻击目标。

项目技术分析

RegEx DoS Scanner 使用 Node.js 进行构建,并通过 npm 模块进行分发和安装。核心功能在于检测可能引起长时间运行的正则表达式模式。例如,以下代码片段展示了如何快速找出可能导致 ReDos 的正则表达式:

> var redos = require('redos');
> redos(" 'aaaa'.split(/a+b?c*/g); ").results();

该工具提供命令行接口(CLI)和作为 Node.js 模块两种使用方式,可以方便地集成到自动化测试流程或开发环境中。

应用场景

  • 代码审计:在项目开发过程中,定期使用 RegEx DoS Scanner 对你的代码库进行扫描,以确保所有正则表达式都符合安全性标准。
  • 持续集成:将扫描器集成到 CI/CD 管道中,以在部署之前自动检查新的代码提交。
  • 教育与研究:学习了解 ReDos 攻击和预防策略,通过实际操作来加深理解。

项目特点

  1. 易于集成:支持通过 npm 安装,并提供了 CLI 和 API 两种使用方式,轻松融入现有工作流。
  2. 高效扫描:能快速识别出可能导致长时间运行的正则表达式模式。
  3. 友好的输出:清晰的输出结果,便于理解和修复问题。
  4. 开放源码:遵循 MIT 许可,社区参与度高,持续更新和完善。
  5. 代码规范:项目采用 Code of Conduct 规范,维护一个和谐且包容的开发环境。

随着 ReDos 攻击日益增多,保护你的应用程序免受此类攻击至关重要。立即加入 RegEx DoS Scanner,为你的软件安全增添一层保障。为确保最佳体验,请查阅 CONTRIBUTING.md 中的贡献指南,以及 CODE-OF-CONDUCT.md 中的行为准则。现在就通过 npm install redos 开始你的 ReDos 防护之旅吧!

姚婕妹
关注
  • 13
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
正则表达式的灾难性回溯
baidu_27487573的博客
06-11 4951
最近项目上在做Fortify安全漏洞扫描。其中有一项漏洞扫描规则为:Denial of Service: Regular Expression。是由于正则表达式带来的DOS攻击。       由于Fortify的扫描不够绝对的智能,因此,它将所有出现了正则表达式的代码,甚至String.split(regex)统统认为有正则表达式带来的DOS攻击风险。        项目上有很多同事来询问该扫
正则表达式攻击实例 Regular Expressions Denial of Service
江湖小虾米
08-26 8652
实测数据如下: 30个a,耗时175毫秒 35个a,耗时950毫秒 40个a,耗时11242毫秒
Fortify漏洞之Denial of Service: Regular Expression
arkqyo2595的博客
06-05 2093
  继续对Fortify的漏洞进行总结,本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结,如下: 1、Denial of Service: Regular Expression 1.1、产生原因:   实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷...
glob-parent Regular expression denial ofservice
kking_edc的博客
03-09 2209
问题出现在chokidar包依赖的glob-parent版本过低,将"dependencies"中的glob-parent修改为: "glob-parent": "^6.0.1", 即可。
正则表达式所引发的DoS攻击(Redos
systemino的博客
05-07 5276
正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatsheet-by-examples-649dc1c3f285了解。 首先,让我们介绍一些重点知...
以下表达式x_正则表达式所引发的DoS攻击(Redos
weixin_39907658的博客
12-18 1255
正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatsheet-by-examples-649dc1c3f285了解。首先,让我们介绍一些重点知识。重复运算符...
DDoS.rar_ddos_denial_denial of service_dos attack_拒绝服务攻击
09-24
相信大家都一定不会对这两个这个词感到陌生,是的,拒绝服务攻击(Denial of Service),以及分布式拒绝服务攻击(Distributed Denial of Service)。
Java-Denial-Of-Service:使用线程拒绝服务
05-31
Java拒绝服务(Denial-of-ServiceDoS)攻击是一种恶意行为,旨在通过消耗系统资源,使其无法正常处理合法用户的请求。在这个特定的场景中,我们关注的是利用Java编程语言来实现这种攻击的方式,尤其是通过线程和套...
Internet Denial of Service: Attack and Defense Mechanisms
01-21
Internet Denial of Service: Attack and Defense Mechanisms 关于DOS攻击的资料
BDoS Blockchain Denial-of-Service Attacks笔记
09-18
《BDoS: Blockchain Denial-of-Service Attacks》笔记 博客的附件文档
Game strategies for distributed denial of service defense in the Cloud of Things
01-20
Abstract: Integration of the IoT (Internet of Things) with Cloud Computing, termed as the CoT (Cloud of Things) can help achieve the goals of the envisioned IoT and future Internet. In a typical CoT ...
Web作业:Regular Expression
daze19891217的博客
11-04 145
Regular Expression(正则表达式) 1、相关语法: 由普通字符和特殊字符(元字符)组成。 普通字符包括:数字,大小写字母,下划线等 特殊字符:() [] {} ^ $ * ? \ | + . 普通字符可以直接拿来用,特殊字符是一定要转义。 2、正则表达式: "^//d+$"  //非负整数(正整数 + 0) "^[0-9]*[1-9][0-9]*$"  //...
拒绝服务攻击(DoS, Denial of Service
linux系统、网络编程和分布式计算
02-19 2206
当一个服务器处理多个客户时,它决不能阻塞于只与单个客户相关相关的某个函数调用,否则可能导致服务器呗挂起,拒绝为其他客户服务。这就是“拒绝服务(denial of service)型攻击”。可能解决办法:(1)使用非阻塞式I/O;(2)让每个客户由单独的线程提供服务;(3)为I/O操作设置一个超时。
《探错笔记》之一个正则引发的血案:ReDOS
御前提笔小书童
10-24 870
ReDoS(Regular expression Denial of Service) 正则表达式拒绝服务攻击。 开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止。 ReDoS 原理 概述 正则表达式也能造成拒绝服务?是的,当正则表达式写得不好时,就有可能...
浅析ReDoS的原理与实践
weixin_34150224的博客
10-18 828
转载于http://www.freebuf.com/articles/network/124422.html ReDoS(Regular expression Denial of Service)正则表达式拒绝服务攻击。开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器...
推荐项目:recheck - 可信赖的ReDoS检查器
最新发布
gitblog_00040的博客
05-31 406
推荐项目:recheck - 可信赖的ReDoS检查器 项目地址:https://gitcode.com/makenowjust-labs/recheck 1、项目介绍 在今天的软件开发中,安全问题始终是首要考虑的因素。recheck 是一个强大的开源工具,专门用于检测和预防 Regular Expression Denial of Service(ReDoS)攻击。这款工具由TSUYUSATO ...
modsecurity内存泄露_我是如何在ModSecurity的核心规则集中找到ReDOS漏洞的
weixin_39724382的博客
12-22 134
本文将会讲述我是如何在世界知名WAF的规则集中找到ReDOS漏洞的,如果你还不是很熟悉正则表达式和ReDOS漏洞,可以阅读我的前一篇文章:https://nosec.org/home/detail/2506.html。简单来说,ReDOS漏洞由于某些正则表达式在编写时忽略了安全性,导致在匹配搜索某些特殊的字符串时会消耗大量计算资源,产生DOS攻击的效果。而现在不少WAF产品都是依赖正则表达式对流量...
Denial of Service
04-18
拒绝服务攻击(Denial of Service,简称DoS)是一种恶意行为,旨在使目标系统无法提供正常的服务。攻击者通过向目标系统发送大量的请求或占用系统资源,导致系统过载或崩溃,从而使合法用户无法正常访问该系统。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姚婕妹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值