Об уязвимости Regex DoS
В этой заметке расскажем о Reges DoS: что это за уязвимость и как с ней можно бороться.
Last updated
В этой заметке расскажем о Reges DoS: что это за уязвимость и как с ней можно бороться.
Last updated
Подмножество DoS-атак. Они направлены на прикладной уровень и используют неправильные регулярные значения для замедления работы сервера. Одна из неприятных особенностей, что может происходить где угодно: на стороне сервера, клиента, базы данных или в любом промежуточном месте.
Где это может быть возможно:
Когда приложение имеет политику паролей.
Проверка адресов электронной почты, имен пользователей и т.д.
Ввод недопустимой управляющей последовательности, например \m
Ввод сообщения типа (.+)+\u0001
Проверить можно с помощью этого сервиса.