正则表达式攻击实例 Regular Expressions Denial of Service

最新推荐文章于 2024-09-01 07:42:55 发布
最新推荐文章于 2024-09-01 07:42:55 发布
阅读量8.7k 收藏 4
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kewen1989/article/details/48002791
版权
本文探讨了正则表达式评估程序的漏洞,这些漏洞可能导致DoS攻击。攻击者利用嵌套和重复正则表达式造成系统挂起。通过实例展示攻击效果,如35个a耗时950ms,40个a耗时11242ms。目前的防御策略包括输入参数和正则表达式的验证,以及通过限制正则匹配时间来防止攻击。
摘要由CSDN通过智能技术生成

实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。这个缺陷可被攻击者用于执行 DOS (Denial of Service) 攻击。

仔细研究了一把,完全搞懂这种攻击是怎么回事了。直接上代码,看的很清楚

public class RegularExpressionsDOSExp
{
	 public static void main(String[] args)
	 {
	 String patterStr = "^(([a-z])+.)+[A-Z]([a-z])+$";
	 String pa
最低0.47元/天 解锁文章
kewen303
关注
专栏目录
Fortify漏洞之Denial of Service: Regular Expression
arkqyo2595的博客
06-05 2144
  继续对Fortify的漏洞进行总结,本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结,如下: 1、Denial of Service: Regular Expression 1.1、产生原因:   实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷...
防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器
gitblog_00044的博客
06-06 625
防护 Regular Expression Denial of Service (ReDos):RegEx DoS 扫描器 RegEx-DoS:cop: :punch: RegEx Denial of Service (ReDos) Scanner项目地址:https://gitcode.com/gh_mirrors/re/RegEx-DoS 在当今的网络安全环境中,防止服务中断变得越来越重要...
正则表达式拒绝服务攻击防御库(ReDoS Protection)实战指南
最新发布
gitblog_01092的博客
09-01 1002
正则表达式拒绝服务攻击防御库(ReDoS Protection)实战指南 RegEx-DoS:cop: :punch: RegEx Denial of Service (ReDos) Scanner项目地址:https://gitcode.com/gh_mirrors/re/RegEx-DoS 项目介绍 欢迎来到ReDoS Protection项目,这是一个由@jagracey维护的开源工具,旨...
glob-parent Regular expression denial ofservice
kking_edc的博客
03-09 2247
问题出现在chokidar包依赖的glob-parent版本过低,将"dependencies"中的glob-parent修改为: "glob-parent": "^6.0.1", 即可。
Web作业:Regular Expression
daze19891217的博客
11-04 166
Regular Expression正则表达式) 1、相关语法: 由普通字符和特殊字符(元字符)组成。 普通字符包括:数字,大小写字母,下划线等 特殊字符:() [] {} ^ $ * ? \ | + . 普通字符可以直接拿来用,特殊字符是一定要转义。 2、正则表达式: "^//d+$"  //非负整数(正整数 + 0) "^[0-9]*[1-9][0-9]*$"  //...
正则表达式所引发的DoS攻击(Redos)
Keix
04-21 6702
转自:https://www.freebuf.com/column/201766.html 正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatshe...
SAP ABAP 正则表达式 Regular expressions
12-12
在SAP ABAP开发中,正则表达式(Regular expressions)是一种强大的文本处理工具,能够高效地处理基于文本的信息。正则表达式允许开发者通过模式匹配来搜索、替换或者提取字符串中的特定部分,广泛应用于数据验证、...
精通正则表达式 - Mastering Regular Expressions
"Mastering Regular Expressions" 是一本深入讲解正则表达式的教程,作者是 Jeffrey E.F. Friedl,由 O'Reilly 出版。本书详细介绍了正则表达式的各种特性和用法,并且特别关注 Perl 语言中的正则表达式应用,同时也...
Java正则表达式教程(Regular Expressions of Java Tutorial)
02-22
正则表达式善于处理文本,对匹配、搜索和替换等操作都有意想不到的作用。正因如此,正则表达式现在是作为程序员七种基本技能之一*,因此学习和使用它在工作中都能达到很高的效率。 教程中所有的源代码都在 src 目录...
正则也会发生DoS攻击— ReDoS
SiShen654的博客
05-27 1485
“Regular Expression Denial of Service (ReDoS)” 什么?正则表达式也能发生拒绝服务攻击? 搜了一下,这篇文章介绍得十分详细,而且有一个触发这个漏洞的范例: How to eliminate regular expression denial of service 有兴趣的朋友可以阅读一下。如果纯粹想体验一下这个漏洞,文中指出的 JavaScript 范例代码如下: let regex = /("[^"]*"|[^@])*@([^@]*)/ t = performa
拒绝服务攻击(DoS, Denial of Service
linux系统、网络编程和分布式计算
02-19 2267
当一个服务器处理多个客户时,它决不能阻塞于只与单个客户相关相关的某个函数调用,否则可能导致服务器呗挂起,拒绝为其他客户服务。这就是“拒绝服务(denial of service)型攻击”。可能解决办法:(1)使用非阻塞式I/O;(2)让每个客户由单独的线程提供服务;(3)为I/O操作设置一个超时。
Regular Expressions (1) ---- What is Regular Expressions?
ET Dreams
09-09 2872
Regular Expressions (1) ---- What is Regular Expressions? 正则表达式是常见常忘,所以还是记下来比较保险,于是就有了这篇笔记。希望对大家会有所帮助。J1.什么是正则表达式.............................................................................
【RE】regular expression
02-18 856
regex语法: 编辑工具 : regexRuddy  e-mail: ([\w-]+)@([\w-]+)(\.[a-zA-Z]{2,5}){1,2} 电话: (0\d{2,3}-\d{7,8})|(1[34568]\d{9})    去除首尾空格: String str = " abc ".replaceAll("(^\\s+)|(\\s+$)","")
网络攻击技术(三)——Denial Of Service
weixin_34411563的博客
02-05 631
1.1.1 摘要         最近网络安全成了一个焦点,除了国内明文密码的安全事件,还有一件事是影响比较大的——Hash Collision DoS(通过Hash碰撞进行的拒绝式服务攻击),有恶意的人会通过这个安全漏洞让你的服务器运行巨慢无比,那他们是通过什么手段让服务器巨慢无比呢?我们如何防范DoS攻击呢?本文将给出详细的介绍。   1.1.2 正文         在介绍Hash Coll...
浅析ReDoS的原理与实践
weixin_34150224的博客
10-18 900
转载于http://www.freebuf.com/articles/network/124422.html ReDoS(Regular expression Denial of Service)正则表达式拒绝服务攻击。开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器...
利用重做
weixin_26636643的博客
09-27 348
Regex is everywhere on the Internet nowadays. Regex如今在Internet上无处不在。 From input validation code, web application firewalls, to malware detection rules, regex is becoming one of the most important cyb...
Regular Expression Matching
angelewings的专栏
11-04 430
首先明确一点s中是没有*和.的
八、node 错误汇总
Daniel的博客
09-02 2055
vue使用时提示有漏洞,那么就是直接按照后面提示的命令npm audit fix 就可以解决,所以只需要按照提示 npm audit fix。如果之后还会有报错,请清除缓存~
node依赖安全扫描工具
weixin_34268753的博客
09-13 407
企业级node安全保障 第三方依赖的安全隐患 安全现状 去年11月, snyk公司发布《2017开源软件安全报告》, 其中扫描了43万个站点, 发现77%的站点包含到至少1个以上已知漏洞. OWASP把"Using Components with Known Vulnerabilities"列为十大安全威胁之一. 为什么需要漏洞扫描工具 几乎每个项目都会引用许多第三广告的包, 有人统计一个项目...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值