not a better man

前端技术

浅谈 ReDoS 攻击

ReDoS 攻击

ReDoS攻击

什么是ReDoS

当我们的项目上线的时候,对项目库使用 xray 进行扫码时,我们的项目相关的依赖经常会扫描出漏洞,有一类漏洞为称为 ReDos(Regular expression denial of Service) 漏洞。比如web 前端常用的 http 请求库 axios 在 1.63 之前的版本就存在 ReDos 漏洞。 下面的链接 是解决 ReDos 的 合并请求 https://github.com/axios/axios/pull/6132

ReDoS攻击的核心在于,某些特定的正则表达式与特定的输入字符串相结合时,会导致极端的计算资源消耗,从而使得系统资源被耗尽,影响或阻止正常服务的提供。

比如:

为什么会出现 ReDOS

怎么预防

发表评论