Об уязвимости Regex DoS

В этой заметке расскажем о Reges DoS: что это за уязвимость и как с ней можно бороться.

Что такое Reges DoS

Подмножество DoS-атак. Они направлены на прикладной уровень и используют неправильные регулярные значения для замедления работы сервера. Одна из неприятных особенностей, что может происходить где угодно: на стороне сервера, клиента, базы данных или в любом промежуточном месте.

Где это может быть возможно:

  • Когда приложение имеет политику паролей.

  • Проверка адресов электронной почты, имен пользователей и т.д.

Как обнаружить Reges DoS

  1. Ввод недопустимой управляющей последовательности, например \m

  2. Ввод сообщения типа (.+)+\u0001

Проверить можно с помощью этого сервиса.

Last updated