ja:rule:inp:正規表現に用いられる入力データにメタ文字がないことを確認する
Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| ja:rule:inp:正規表現に用いられる入力データにメタ文字がないことを確認する [2017/07/04 01:23] – [適合コード例(Detect Meta Character)] yohgaki | ja:rule:inp:正規表現に用いられる入力データにメタ文字がないことを確認する [2017/07/04 01:28] (current) – [例外] yohgaki | ||
|---|---|---|---|
| Line 75: | Line 75: | ||
| } | } | ||
| + | // Length check | ||
| + | if (mb_strlen($_POST[' | ||
| + | throw new Exception(' | ||
| + | } | ||
| + | if (mb_strlen($_POST[' | ||
| + | throw new Exception(' | ||
| + | } | ||
| // $_POST[' | // $_POST[' | ||
| // must not contain other than alphabet chars. | // must not contain other than alphabet chars. | ||
| Line 129: | Line 136: | ||
| ログフォーマットが変更された場合に意図せず秘密にすべきログが取得できてしまう可能性がある点にも注意が必要である。 | ログフォーマットが変更された場合に意図せず秘密にすべきログが取得できてしまう可能性がある点にも注意が必要である。 | ||
| + | |||
| + | ユーザー定義正規表現を許可する場合、ReDoSに対してかなり脆弱になる。 | ||
| ===== 例外 ===== | ===== 例外 ===== | ||
| - | * 正規表現を利用するユーザーが権限を持つシステム管理者のみ限定されている場合。 | + | * 正規表現を利用するユーザーが権限を持つシステム管理者のみ限定されている場合、などそもそも検索対象全てにアクセス権限を持っている時。 |
| + | * 検索対象のデータが機密情報でない場合。 | ||
| ===== リスク評価 ===== | ===== リスク評価 ===== | ||
ja/rule/inp/正規表現に用いられる入力データにメタ文字がないことを確認する.1499131395.txt.gz · Last modified: 2017/07/04 01:23 by yohgaki
