几种常见攻击的正则表达式

最新推荐文章于 2023-05-24 11:57:18 发布
最新推荐文章于 2023-05-24 11:57:18 发布
阅读量1k 收藏 1
点赞数
文章标签: python 操作系统 java
原文链接:https://my.oschina.net/u/347386/blog/119392
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

"( \\s|\\S)*(exec(\\s|\\+)+(s|x)p\\w+)(\\s|\\S)*" //Exec Commond
"( \\s|\\S)*((%3C)|<)((%2F)|/)*[a-z0-9%]+((%3E)|>)(\\s|\\S)*" //Simple XSS
"( \\s|\\S)*((%65)|e)(\\s)*((%76)|v)(\\s)*((%61)|a)(\\s)*((%6C)|l)(\\s|\\S)*" //Eval XSS
"( \\s|\\S)*((%3C)|<)((%69)|i|I|(%49))((%6D)|m|M|(%4D))((%67)|g|G|(%47))[^\\n]+((%3E)|>)(\\s|\\S)*" //Image XSS
"( \\s|\\S)*((%73)|s)(\\s)*((%63)|c)(\\s)*((%72)|r)(\\s)*((%69)|i)(\\s)*((%70)|p)(\\s)*((%74)|t)(\\s|\\S)*" //Script XSS
"( \\s|\\S)*((%27)|(')|(%3D)|(=)|(/)|(%2F)|(\")|((%22)|(-|%2D){2})|(%23)|(%3B)|(;))+(\\s|\\S)*" //SQL Injection

转载于:https://my.oschina.net/u/347386/blog/119392

weixin_33921089
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
regexploit:查找容易受到ReDoS攻击正则表达式正则表达式拒绝服务)
03-19
反潜 查找容易受到正则表达式拒绝服务(ReDoS)影响的正则表达式。 许多默认正则表达式解析器具有无限的最坏情况复杂度。当出现匹配的输入字符串时,正则表达式匹配可能很快。但是,某些不匹配的输入字符串会使正则表达式匹配器陷入疯狂的回溯循环中,并且需要花费很多时间来处理。这可能会导致拒绝服务,因为CPU会在尝试匹配正则表达式时卡住。 该工具旨在: 查找容易受到ReDoS攻击正则表达式 举例说明将导致灾难性回溯的恶意字符串 最坏情况下的复杂性 这反映了正则表达式匹配器的回溯过程相对于输入字符串长度的复杂性。 这里的三次复杂度意味着,如果字符串的易受攻击的部分的长度加倍,则执行时间应大约长8倍(2 ^ 3)。对于具有加星标的指数ReDoS,例如(a*)*$将使用一个模糊系数,其复杂度将大于10。 为了可扩展性,除非允许真正的巨型弦作为输入,否则通常需要立方复杂度或更高。 例子 运行regexpl
php防止sql注入示例分析和几种常见攻击正则表达式
10-26
主要介绍了php防止sql注入漏洞代码和分析,最近提供了几种常见攻击正则表达式,大家参考使用吧
正则表达式攻击
weixin_30578677的博客
05-27 198
今天在线上环境发现cpu利用率100%问题,top出来确实有个进程一直占着100%CPU,记下这个pid然后Shift+H查看线程占用资源情况,记下pid,这时pid其实是线程ID,到java堆栈去找要转为十六进制; jstack [pid] |grep -n 'nid=0x249c' 这一行就是占用资源的线程 "New I/O server worker #1-11" prio=10 t...
盲注之正则表达式攻击(REGEXP注入)
秋水的博客
09-03 3699
注入原理 什么是REGEXP注入? 首先说明一下,我并没发现这种注入是多么独特的一种方式。只是因为看到了,所以记下笔记,难受啊,越学看到的越多 REGEXP注入是一中注入方式,又叫盲注值正则表达式攻击 注入原理 应该场景就是盲注,原理就是直接查询自己需要的数据,然后通过正则表达式进行匹配,实用场景如下 and 1=(SELECT 1 FROM information_sche...
正则表达式所引发的DoS攻击(Redos)
systemino的博客
05-07 5230
正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatsheet-by-examples-649dc1c3f285了解。 首先,让我们介绍一些重点知...
正则也会发生DoS攻击— ReDoS
SiShen654的博客
05-27 1380
“Regular Expression Denial of Service (ReDoS)” 什么?正则表达式也能发生拒绝服务攻击? 搜了一下,这篇文章介绍得十分详细,而且有一个触发这个漏洞的范例: How to eliminate regular expression denial of service 有兴趣的朋友可以阅读一下。如果纯粹想体验一下这个漏洞,文中指出的 JavaScript 范例代码如下: let regex = /("[^"]*"|[^@])*@([^@]*)/ t = performa
正则表达式判断密码强度
05-25
正则表达式(Regular Expression)是一种强大的工具,用于在字符串中匹配特定模式,它在这里被用来判断用户设定的密码是否符合一定的强度标准。以下是对这个话题的详细解释。 首先,密码强度通常涉及到以下几个方面...
sql关键词脚本检查正则表达式的方法
10-16
SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意的SQL语句来操纵数据库操作。为了保护系统免受此类攻击,我们需要在处理用户输入之前检查它们是否包含SQL关键词。 在上述描述中,提到了一个Java...
安全问题 正则表达式注入
weixin_33955681的博客
07-09 1677
正则表达式注入 数据被传递至应用程序并作为正则表达式使用。可能导致线程过度使用 CPU 资源,从而导致拒绝服务攻击。  下述代码java中字符串的split, replaceAll均支持正则的方式, 导致CPU挂起. 1 final String input = "0000000000000000000000000000000000000000000000"; 2 ...
python实现网络爬虫(17)】使用正则表达式爬取百度以任意关键词搜索返回结果的数据
01-20
正则表达式爬取百度搜索结果1. 爬虫架构2. 创建分页url2.1 网页url规律查找2.2 创建接口输出url测试3 正则表达式匹配3.1 直接匹配源代码3.2 配合网页解析进行结果匹配4. 小结5. 全部代码5.1 re + 源代码5.2 bs4 + re 1. 爬虫架构 为了减少不必要的步骤,直接加载一下爬虫的基础架构,如下。注意,一定要填写自己的headers的内容 import re import requests import time headers = { 'Cookie': '_ga=GA1.2.1075258978.1586877585; _gid=GA1.2.3
正则表达式可能存在哪些安全问题
m0_49521873的博客
05-24 751
因此,在编写应用程序时,应当对使用的正则表达式进行严格的安全性审查,避免发生安全问题,并在匹配过程中进行有效的过滤和校验,确保输入的数据不会被恶意利用。4. 跨站脚本攻击XSS):攻击者可以通过构造恶意正则表达式,来窃取用户输入的敏感信息,并且在网页中展示恶意内容,造成跨站脚本攻击XSS)。3. 文件路径穿越漏洞:正则表达式在处理文件路径时,如果没有进行有效的过滤和校验,可能会被攻击者利用来进行路径穿越攻击,获取敏感信息。
[渗透测试] DOS攻击
weixin_30783913的博客
08-30 722
使用hping工具,在ubuntu下的安装方法如下: [plain]view plaincopy sudoapt-getinstallhping3 安装完成后的实验如下:比如,发起攻击的机器为10.0.3.83,靶机为10.0.3.88,发起SYN Flood的命令如下 [plain]view plaincopy ...
应用安全系列之十二:正则表达式注入
jimmyleeee的专栏
03-07 2605
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
正则表达式的盲注攻击的一点探索
1CHIG0的博客
04-04 980
今天遇到了正则表达式的盲注攻击,刚开始都还很顺利,但是到后面发现了一点比较玄学的东西。感觉很有趣,到最后也还是没有弄懂,发上来求教。首先我们建立一张表,数据库名称为test1,内含两张表admin,news。我们的目标是,通过对uid的正则盲注得到这个数据库的信息。首先爆破第一个test1数据库中第一行的第一个字符,即admin。首先爆破第一个字符,这里有两种方法,后面我选择第一种为例,第二种同理...
常用正则表达式大全(Xss防范、sql注入、手机邮箱验证等等,持续补充~)
热门推荐
少说,多做
05-20 1万+
常用正则表达式大全 文章目录一、安全防范类1.SQL注入1.Xss拦截二、常用校验类1.手机号校验2.邮箱校验3.邮政编码校验4.IP地址校验使用示例 一、安全防范类 1.SQL注入 (\=.*\-\-)|(\w+(%|\$|#|&)\w+)|(.*\|\|.*)|(\s+(and|or)\s+)|(\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|mast
java xss 正则表达式_捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?...
weixin_39562340的博客
02-16 706
小编典典不要使用正则表达式执行此操作。请记住,您并不是仅仅针对有效的HTML进行保护;您可以防止Web浏览器创建的DOM。可以诱使浏览器很容易地从无效的HTML生成有效的DOM。例如,请参阅此混淆的XSS攻击列表。您是否准备量身定制正则表达式以防止在IE6 /7/8上对Yahoo和Hotmail进行这种现实世界的攻击?如何在IE6上进行这种攻击?该网站未列出的攻击如何?Jeff的方法存在的问题是,...
【SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1573
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
存储型xss正则表达式校验
huryer的专栏
11-09 3844
使用js正则表达式校验前台录入的数据是否存在存储型xss注入漏洞 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>存储型xss正则表达式校验</title> </head> <body> <script> var v=...
常见xss攻击正则表达式
最新发布
09-08
常见XSS攻击正则表达式包括以下几种: 1. `<script>`标签过滤:`/<script\b[^<]*(?:(?!<\/script>)<[^<]*)*<\/script>/gi` 2. HTML属性过滤:`/<[^>]+on[a-z]+\s*=([^>]+)/gi` 3. JavaScript事件过滤:`/(?:\s|^)on\w+=\s*(['"])(?:\\.|[^'"])*\1/gi` 4. JavaScript协议过滤:`/javascript\s*:/gi` 这些正则表达式用于检测和过滤潜在的XSS攻击代码,但请注意,正则表达式并不能完全防止所有的XSS攻击,因为攻击者可能使用其他技巧来绕过这些过滤规则。因此,除了使用正则表达式之外,还应该采取其他安全措施,如输入验证、输出编码等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值