1. Überprüfung eines Login-Regex auf ReDoS-Risiken
Security EngineerHintergrund
Ein neues Registrierungsformular verwendet komplexe reguläre Ausdrücke zur Validierung von Benutzernamen und E-Mail-Adressen.
Aufgabe
Es muss sichergestellt werden, dass Angreifer den Server nicht durch speziell präparierte Eingaben (ReDoS) lahmlegen können.
Verwendung
Fügen Sie die Regex-Muster in die Liste ein, setzen Sie die Evil-Input-Länge auf 32 und die Simulationsläufe auf 200.
regexList: "(a+)+$\n^(\\w+\\s?)*$"\nmaxEvilInputLength: 32\nsimulationRuns: 200Ergebnis
Der Scanner identifiziert `(a+)+$` als kritisches Risiko, zeigt die extrem hohe Ausführungszeit beim Benchmarking und schlägt eine sichere Alternative vor.