[B! ReDoS] randynetのブックマーク

randynet id:randynet

ReDoSに関するrandynetのブックマーク (2)

正規表現を使ったDoS – ReDoS
(Last Updated On: 2018年8月8日)いつかは忘れるくらい前に正規表現のアルゴリズム自体を利用してDoS攻撃を行うReDoSが発表されていました。今まであまり気にしていなかったのですが、検索しても日本語のページが出てこないようでした。詳しく知るためのリンクなどを紹介します。少し検索して出て来た日本語ページはHPのページでしたが、たまたまインデックスされていたページがヒットしたようでした。また記載されている情報は不十分でした。（ページ下のコピーライトからFortifyの情報のようです）日本語のページで良いものは無いようなので、ReDoSの英語ページ／PDFを紹介します。 Wikipedia OWASP CHECKMARX 2015 (PDF) CHECKMARX 2009 (PDF) 3つ目のCHECKMARXのPDFは解りやすいと思います。OWASPのページはCHE
randynet 2016/02/09
「正規表現のアルゴリズム自体を利用してDoS攻撃を行うReDoS」これはこわいな

正規表現

ReDoS
リンク
ReDoSの回避
(Last Updated On: 2018年8月8日)正規表現のアルゴリズムを攻撃するDoS攻撃のReDoSを可能な限り回避する方法を考えてみます。追記：破滅的なReDoSは非常に短い検索対象文字列でDoS攻撃が可能でした。念の為と思い、このエントリでは正規表現検索の対象文字列を短くする対策を紹介していましたが、この種の対策が効果があるケースがありました。 ReDoSに脆弱になる典型的な正規表現は以下のような正規表現です。 Evil Regex pattern examples (a+)+ ([a-zA-Z]+)* (a|aa)+ (a|a?)+ (.*a){x} | for x > 10 Payload: “aaaaaaaaaaaaaaaaaaX” 出典：CHECKMARX 2015 (PDF) マッチパターンが繰り返される正規表現が問題になります。メールアドレスにマッチする正
randynet 2016/02/09
確かに。「賢い正規表現より、通常の文字列関数で文字列を確認／分割し、単純な正規表現を書くようにした方が思わぬ脆弱性を作らなくて済みます」

正規表現

ReDoS
リンク
1