JavaScript Web 应用措施和处事器易受 ReDoS 进攻

JavaScript Web 应用措施和 Web 处事器轻易受到称为正则表达式（regex）拒绝处事（ReDoS）的特定范例的裂痕/进攻。当进攻者将大量伟大的文本发送到基于 JavaScript 的 Web 处事器或应用措施的开放输入时，就会产生这些裂痕。

假如处事器组件或应用措施库不是专门计划用于处理赏罚各类边沿环境，则进攻者的输入最终会一次阻止整个应用措施或处事器几秒钟或几分钟，而处事器会说明并模式匹配输入。

各类编程说话和 Web 处事器技能在模式匹配操纵和 ReDoS 进攻的机能方面存在相同的题目，因为大大都 JavaScript 处事器的单线程执行模子，每个哀求都由统一个线程处理赏罚，因此在 JavaScript 的环境下它们被强调了。

2017 年宣布的后续研究表现，Node.js 库和应用措施中发明的裂痕总数中有 5％ 是 ReDoS 裂痕。在上周的一次安详集会会议上，ReDoS 题目因为多年未获得办理，在 JavaScript 社区引起重视。来自德国达姆施塔绝技能大学（Technical University in Darmstadt, Germany）的两名学者 Cristian-Alexandru Staicu 和 Michael Pradel 暗示，他们在风行的 Node.js 模块中发明白 25 个早年未知的裂痕。

Staicu 和 Pradel 嗣魅这些裂痕的首要缘故起因是缺乏对正则表达式匹配机能的存眷，由于大大都开拓职员好像都专注于精确性，在代码中留下了大量裂痕，进攻者可以行使 ReDoS 进攻来操作这些裂痕。

两人颠末进一步研究，计划出了一种在现实网站上检测这些裂痕而无需现实行使 ReDoS 裂痕操作代码的要领。他们行使这种要领扫描 2,846 个风行的基于 Node.js 的站点，表现 339 个约莫 12％ 的站点轻易受到至少一个 ReDoS 裂痕的进攻。研究小组暗示，“ReDoS 对这些网站的可用性组成严峻威胁，我们会开拓用于检测缓和解 JavaScript 中 ReDoS 裂痕的技能。”

【编辑保举】

1. 外媒速递：开源无处事器四大办理方案的比拼
2. 晋升体验，微软在 VSCode 中引入了 Python 说话处事器
3. 谷歌公布推出 Dart 2 不变版和 Dart Web 平台
4. 外媒速递：2018年五大顶尖无处事器平台综述

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!