DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港高防cdn_网盾高防_超高防御

05-06 DDOS防御

香港高防cdn_网盾高防_超高防御

夏天正在进行中,我们的数据安全研究团队一直在努力工作。阿克斯在上个月的视频假期后,防御cc的cdn,又一次回到了我们身边。欢迎回来,阿克斯。本月我们将讨论导致拒绝服务(ReDoS)的正则表达式漏洞。基于regex的匹配之所以吸引开发人员,是因为它在字符串匹配和过滤操作方面的效率和易用性。然而,由于regex使实现相同结果的多个路径成为可能,即使表达式中的一个最细微的错误也会打开该特定表达式导致安全漏洞的可能性。重做漏洞通常发生在用于计算字符串的正则表达式没有考虑大尺寸输入的可能性时。如果输入字符串非常大,ddos攻击能防御吗,软件防御cc,正则表达式匹配引擎可能会消耗大量CPU资源。如果熟练的攻击者可以多次重复此过程,则目标主机上将发生DoS情况,这完全是因为字符串匹配操作占用了所有可用内存Vuln/Sonatype ID名称:CVE-2018-1109 aka Sonatype-2018-0081漏洞类型:拒绝服务攻击受影响的部件:npm支架:[2.2.0,2.3.1)漏洞描述:"braces"组件容易受到正则表达式拒绝服务(ReDoS)攻击,因为中的"multiplier"函数`解析器.js`包含未优化的正则表达式,正在处理用户输入。攻击者可以通过利用正则表达式引擎的设计功能来制造和注入恶意输入,从而在正则表达式引擎中造成灾难性的回溯-在尝试查找匹配项时处理所有可能的操作。这种广泛的处理会在几秒钟内挂起系统。攻击机制:大多数正则表达式引擎的行为方式非常相似,都是通过匹配第一种可能的方式来接受当前字符,然后沿着字符链继续前进。如果下一个引擎无法匹配,则会查看下一个引擎是否匹配。如果这个过程进行得太远而字符串最终不匹配,或者如果许多字符具有多个有效的regex路径,那么向后看的步骤数可能会变得非常大,并导致灾难性的回溯。  补救措施:正如视频中所讨论的,防止重做攻击最明显的方法是使用最佳开发实践和"卫生"。除了精心设计一个更优雅的regex语法来满足您个人的编码需求外,百度cdn如何防御ddos,还必须考虑到意外的长输入,这可能会成为潜在的安全隐患。下面是最佳实践的示例:图1:用于字符串比较的易受攻击的正则表达式图2:优化的正则表达式根据CVE-2018-1109/Sonatype-2018-0081,除了利用最佳实践之外,建议您升级到"braces"的非易受攻击版本,即npm存储库中提供的2.3.1。具有持续部署软件版本能力的DevOps本机组织具有自动化优势,使他们能够领先黑客一步。Sonatype Nexus的客户在发现后几天内收到CVE-2018-1109/Sonatype-2018-0081的通知。他们的开发团队会自动收到关于如何补救风险的指示。如果您不是Sonatype的客户,cdn防御ddos方式,并且想知道您的代码是否存在漏洞,可以使用Sonatype的免费Nexus漏洞扫描程序来快速查明访问Nexus Intelligence Insights页面,深入了解类似此漏洞的其他漏洞,或订阅automatically receive Nexus Intelligence Insights hot off press。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67695.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8971113访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X