1. 检查登录校验正则是否存在灾难性回溯
后端开发工程师背景
团队在用户注册接口中引入了一个复杂的正则表达式来校验用户名格式,但担心恶意用户利用特殊构造的字符串发起 ReDoS 攻击。
问题
评估现有的用户名校验正则是否存在灾难性回溯风险。
如何使用
将正则 `^(\w+\s?)*$` 粘贴到“正则列表”中,设置最大恶意输入长度为 32,模拟次数为 200。
{
"regexList": "^(\\w+\\s?)*$",
"maxEvilInputLength": 32,
"simulationRuns": 200
}结果
扫描报告指出该正则存在“Critical”级别的风险,并展示了在 32 字符恶意输入下的极高耗时,同时建议移除嵌套量词。