正規表現の脆弱性 (ReDoS) を JavaScript で学ぶ

2022/02/18 404 users Repeat test 脆弱性 正規表現 反響

先日、このようなツイートを書いたところ、かなりの反響がありました。 JavaScript の正規表現の脆弱性の例でいうと、例えば /\s+$/ は脆弱性があると言える console.time(); /\s+$/.test(" ".repeat(65536) + "a"); console.timeEnd(); 結構時間がかかるのがわかる。でも /\s+$/ を見て「これは危険だな」と理解出来る... 続きを読む

正規表現でのメールアドレスチェックは見直すべき – ReDoS | yohgaki's blog

2017/01/24 167 users StackExchange エントリ Ruby 指数 結論

(更新日: 2016/10/19) 前のエントリで StackExchangeがReDoSで攻撃されサイトがダウンした問題 を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS（十分短い文字列で指数関数的に実行時間が増加する）が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。（特にRuby... 続きを読む