zoukankan      html  css  js  c++  java
  • Fortify漏洞之Denial of Service: Regular Expression

      继续对Fortify的漏洞进行总结,本篇主要针对  Denial of Service: Regular Expression  漏洞进行总结,如下:

    1、Denial of Service: Regular Expression

    1.1、产生原因:

      实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。

    示例:

    (e+)+

    ([a-zA-Z]+)*

    (e|ee)+

    已知的正则表达式实现方法均无法避免这种攻击。所有平台和语言都容易受到这种攻击。

    1.2、修复方案:

    请不要将不可信赖的数据用作正则表达式。

    实际修复方案:

     

    在有正则表达式的地方调用下面提供的公共表达式过滤方法。

     

    提供的公共的表达式过滤方法。(根据实际业务需求选择过滤的符号)

     

    1.3、预防该漏洞的开发规范:

      1、对有使用正则表达式的地方应该进行公共过滤方法的调用。

  • 相关阅读:
    Oracle(二)常用操作语句
    Oracle(一)概念理解
    Spring MVC实现文件上传和下载
    Spring MVC 的执行流程
    Spring MVC原理及配置详解
    idea创建maven web项目
    Spring Bean的生命周期
    integer和int的区别
    web项目搜索框智能提示
    html-tab page
  • 原文地址:https://www.cnblogs.com/meInfo/p/9141925.html
Copyright © 2011-2022 走看看