java 正则死循环_Java 正则表达式漏洞

最新推荐文章于 2021-02-25 00:20:11 发布
最新推荐文章于 2021-02-25 00:20:11 发布
阅读量904 收藏
点赞数
文章标签: java 正则死循环
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42153615/article/details/114102840
版权

由于工作原因,一直没有时间把在线上遇到的问题总结一下。还好,今天我来了。

废话少说了。

主要说一下“java 正则表达式中的一个漏洞”,详细问题描述

目前使用 1.6 和 1.7 都没有修补该漏洞。

来个白话文吧

案例代码 Test.java

1 final Pattern pattern = Pattern.compile("(0*)*A");2 final String input = "0000000000000000000000000000000000000000000000";3

4 long startTime =System.currentTimeMillis();5 Matcher matcher =pattern.matcher(input);6 System.out.println(matcher.find());7 System.out.println("Regex took:" + (System.currentTimeMillis() - startTime) + "ms");

意思是说匹配器在输入的末尾并没有检测到”A”。现在外侧的限定符后退一次,内存的则前进一次,如此重复,无法得到结果。

因此,匹配器逐步回退,并尝试所有的组合以找出匹配符号。它最终将返回(没有匹配的结果),但是该过程的复杂性是指数型的(输入中添加一个字符加倍了运行时间)

赶紧查看cpu占用率(top)

bb761ea44f537acdc7d6f02164e0dcac.png

尼玛呀,这都上99.9了。吓死宝宝了。赶紧看看这货到底是啥?

查看进程信息(ps -ef | grep 17837)(17837为进程id)

2a8bdb35f840f882fd840523dd7c962c.png

这不是我写的那个测试类吗?看来漏洞复现了。赶紧看一下这货暂用CPU的情况

ps mp 17837 -o THREAD,tid,time (注意逗号之间不要加空格)

a1c853f2f949e9ce2d28ed95a57df21b.png

这家伙已经占用CPU快一个小时了。应该是死循环了。赶紧看看出啥幺蛾子了。

这时我们可以通过jdk提供的工具查看具体的堆栈信息(jstack )

jstack 17837

#4/13日 发现可以使用 kill -3 pid 来查看dump信息。高兴

12ef2b09fc5afd2b08ab0e36664cddc0.png

问题复现了。这就是我们说说的jdk正则的漏洞。

主要表象就是长时间占用CPU,应用表象就是:页面访问白板,无响应。

具体的解决方案,我不赘述网上其他人说的c,Python的解决方法(因为我不会吗。。。。。)

1)优化正则,别写的那个正则别人一看就吓一跳。其实业务没有那么简单

2)使用线程,并且捕获异常,详见 http://stackoverflow.com/questions/910740/cancelling-a-long-running-regex-match

80 seconds
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python 正则进入死循环处理方案
Maan_liaa的博客
08-18 1443
        在使用re 正则匹配处理文本数据时,可能是由于正则写的不严谨问题,导致在匹配过程中会遇到程序卡死情况(PS:有知道这个为什么会出现卡死的大佬请多多指教),如下: input_str = r'mathrm{OH}\overset{\mathrm{浓H}_2\mathrm{SO}_4}{\underset\bigtriangleup\rightleftarrows}CH_{3}=CO' split_ch = [] d
java正则表达式.zip
08-21
Java正则表达式Java编程语言中用于处理字符串的强大工具,它基于模式匹配的概念,能够高效地进行文本搜索、替换和解析。在Java中,正则表达式主要通过`java.util.regex`包来实现,提供了Pattern和Matcher两个核心...
python 正则卡死了 原来是表达式死循环
DarkN0te
02-15 2360
用下面的正则表达式会造成死循环,具体原因后面分析 import re url = "http://search.www.gov.cn/search/fw/cateSearch.do?webid=1&category=bmfw&q=" if re.match('^(https?:\/\/)?([\da-z\.-]+)\.([a-z\.]{2,6})([\/\w \.-]*)*\/...
关于java正则表达式匹配时进入死循环或者栈溢出的可能解决办法
xydoo的博客
05-15 1432
最近在写java程序时遇到了文本处理问题。 明明自己的程序写的没有什么问题,但是却进入了死循环或者是栈溢出。 下面给出大家几个可能的解决方法 尽量少使用+或者*。虽然这两种符号用起来很方便,但是在匹配时是递归进行匹配的,所以开销会比较大。 使用Pattern.compile()来构建新的Pattern类对象,这样做性能会比直接使用Matcher类要好。 想办法简化自己的正则表达式。 如果文本的长度过长,建议可以先手动进行简单的文本分割。比如先按段落分开,或者划分为比较短的文本块。之后再使用正则表达式去匹配
Java正则达式引起死循环导致服务器负载过高
若鱼的专栏
10-14 4334
今天例行top检查服务器的时候,忽然发现负载竟然到了30多!我勒个去啊! 进程16319的cpu负载到了198.3%,出现这么高的负载很有可能有死循环! jstack打印堆栈,里面有大量的这样的线程在RUNNABLE: "http-bio-8080-exec-17" daemon prio=10 tid=0x00007f21b06b5800 nid=0x43cd runnable [0x00
正则表达式死循环问题
qq_47996023的博客
09-14 902
importrequests importre importjson defrequest_dandan(url): try: response=requests.get(url) ifresponse.status_code==200: returnresponse.text exceptrequests.RequestException: returnNone ...
Java正则达式引起死循环问题解决办法
热门推荐
shixing_11的专栏
11-09 1万+
最近线上应用一直LOAD值非常高,几乎接近宕机的边缘,开始报异常如下:at java.util.regex.Pattern$GroupTail.match(Unknown Source) at java.util.regex.Pattern$Ctype.match(Unknown Source) at java.util.regex.Pattern$Branch.match(Unknown Source) at java.util.regex.Pattern$GroupHead.match(Unkno
java正则表达式引起死循环导致程序卡主
lieying411
07-24 4451
正则表达式使用贪婪型匹配,在调用matcher.find()方法时,引起程序卡死,不执行后续的代码
java_zhengze.rar_正则表达式_正则表达式 java
09-14
正则表达式是编程语言中用于模式匹配和字符串处理的强大工具,在Java中也不例外。Java正则表达式功能强大,可以用于验证输入、提取信息、替换文本等多种场景。本资料"java_zhengze.rar"提供了对Java正则表达式的...
Java正则表达式_动力节点Java学院整理
08-30
Java正则表达式详解 Java正则表达式Java语言中的一种模式匹配技术,用于匹配、查找、替换和判断字符串。它是一种强大的工具,能够帮助开发者快速处理字符串相关的任务。 什么是正则表达式正则表达式是一种...
正则表达式_正则表达式_正则_
10-02
正则表达式,简称为正则,是一种强大的文本处理工具,用于匹配、查找、替换等操作。它在编程、数据分析、网页抓取等领域有着广泛的应用。这篇个人总结将深入探讨正则表达式的核心概念、语法元素以及实际应用。 1. *...
Java正则表达式验证固定电话号码符合性
08-26
Java正则表达式验证固定电话号码符合性 Java正则表达式验证固定电话号码符合性是验证固定电话号码是否合法的重要步骤。通过使用Java正则表达式,可以实现固定电话号码的验证,确保输入的电话号码符合标准格式。本文...
Java regex正则表达式类似死循环问题
flysharkym的专栏
07-24 5449
Java regex正则表达式类似死循环问题,详见:http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=6988218 这个问题其实是由于正则表达式很复杂时,java regex复杂度过高(复杂度成指数级),导致类似死循环的问题。 测试代码: // public static void main(String[] args) {
java 正则死循环_想通过递归算法实现,却陷入了死循环,求解救。
weixin_28890941的博客
02-25 190
package com.itheima;import java.util.Scanner;public class Test7 {/*** 7、编程列出一个字符串的全字符组合情况,原始字符串中没有重复字符,例如: 原始字符串是"abc",打印得到下列所有组合情况: "a" "b"* "c" "ab" "bc" "ca" "ba" "cb" "ac" "abc" "acb" "bac" "bca" ...
正则表达式就是这么简单(避免死循环)
jokerxsy的博客
05-19 1592
To conclude: onenote真相,不过复制到CSDN为什么图片呢 参考的书是《python程序设计》 一些拓展知识,暂时不接触,感觉上面的也够用了。作业要用。 加油,吃饭去了
javascript 正则表达式 exec /g 死循环
ISaiSai的专栏
05-11 2243
exec 死循环的原因 1是使用了能够匹配宽度为0 的正则表达式 var a = "abc" var r= /.*/g var x; while ((x = r.exec(a) ) != null) { console.log(x) console.log(r.lastIndex) } 如上代码,第一次循环会匹配abc 字符串,之后会死循环最后一个位置
java 使用 正则_在java中使用正则表达式注意的地方
weixin_42365141的博客
02-12 86
1、 对^与$的理解通常我们会通过类似Matcher matcher = Pattern.compile(regex).matcher(string);的代码去拿到一个Matcher对象。这种情况下regex中的^与$匹配的是整个待匹配串string的开头与结尾。而要使^与$去匹配每一行的开始与结尾,则要使用Pattern.MULTILINE。即:Matcher matcher = Pattern...
Java表达式的陷阱——正则表达式的陷阱
Never_Blue的博客
04-24 502
5、正则表达式的陷阱 public class StringSplit { public static void main(String[] args) { String str = "java.is.funny.hello.world"; String[] strArr = str.split("."); for ( String s : strArr ) { System
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
最新发布
07-28
基于SpringCloud微服务架构的B2C电子商务系统-可执行内含文档代码-可执行内含文档代码.zip
java正则表达式或_java 正则表达式
05-30
您的问题是关于 Java 正则表达式的,它是一种用于在文本中查找模式的工具。Java 中的正则表达式由特殊字符和文本字符组成,可以用来匹配特定的文本字符串。使用 Java 正则表达式需要使用 Java 中的正则表达式库,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值