java正则redos排查
【摘要】 一、概念: redos漏洞主要指的是,由于正则引起的资源耗尽风险。二、漏洞底层原理 解释不来。三、大白话解释 不合理的正则会导致检测文本时,疯狂的匹配,同时会设置多个节点,每个节点又有很多种匹配方法,导致需要匹配的次数过于巨大,线程一直被占用,导致的性能耗尽。 最多的情况就是自我重复的情况。四、举例 示例:(a|aa)+ 输入文本:aaaaa...
一、概念:
redos漏洞主要指的是,由于正则引起的资源耗尽风险。
二、漏洞底层原理
解释不来。
三、大白话解释
不合理的正则会导致检测文本时,疯狂的匹配,同时会设置多个节点,每个节点又有很多种匹配方法,导致需要匹配的次数过于巨大,线程一直被占用,导致的性能耗尽。 最多的情况就是自我重复的情况。
四、举例
示例:(a|aa)+ 输入文本:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!
需要注意的是,末尾的值需要匹配失败,这样才会触发回溯,从而导致匹配次数过大,否则就会优先匹配全输入,直接就匹配成功了。
建议的解决方案:
1.优先使用 正则优化,不使用这种带有自我重复正则
2.使用字符限制, 在无法更改正则条件的情况下,可以通过限制输入长度进行限制,越短越好!这样可能会减少回溯次数,不过可能依旧存在风险。需要多复测两次。
3.不知道,应该还有其他解决方案吧
五、推荐好用的检测工具
SDL Regex Fuzzer
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
作者其他文章
评论(0)