موضوع اليوم عن ثغرات Redos

وهي اختصار

لـRegular expression Denial of Service

يهم هذا الموضوع :

المبرمجين

مختبر جودة البرمجيات

صائد المكأفات

مختبر اختراق

ملاحظة هذا الثغرة مقبولة في برامج المكأفات

#أمنالمعلومات #الامنالسيبراني

#برمجة #جودة_البرمجيات https://t.co/rdhedAq7Ao

اولا : نحتاج الى معرفة ماهو Regex

لنفرض انك مبرمج لموقع ولديك عدة مدخلات

في موقعك مثلا تحتاج ايميل المستخدم والاسم والرقم السري ..الخ

في نماذج الموقع

انت كمبرمج لو كل مستخدم حاول التسجيل بموقعك وللتأكد

هل المدخل ايميل او اسم مستخدم صعب جدا التتحقق بشكل يدوي https://t.co/sIVi56vRkx

تخيل انك كل يوم تراجع مدخلات المستخدمين في موقعك هل المدخل ايميل او لا

من هنا ظهرت الحاجة لحل هذه المشكلة واستخدام Regex

لذلك شخصيا اعرف Regex انه بناء نمط او جملة شرطية للتحقق من المدخل

بنمط معين يريده المبرمج مثلا الايميل اسم المستخدم .الخ

هذه الطريقة تختصر الكثير من الوقت https://t.co/q3xxvGaBMM

وتوجد انماط كثيرة مثلا لا اريد اسم مستخدم يحتوي على رموز $%@#^&@

او لا اريد باسورد ضعيف ويحتوي على ارقام متسلسلة ..الخ

حيث لها فوائد جدا كثيرة

اذا اين يحدث الخطأ يحدث الخطأ عندما يكتب المبرمج Regex غير

صحيح يمكن المهاجم من كتابة نمط يتسبب في حدوث dos https://t.co/pr4uj9Qd4C

هنا عندنا نمط بسيط كمثال لإيصال

الصورة بشكل عملي في Regex قلنا له ابدا بحرف a بالاضافة الى d+b

باستخدام الكونسول لوق سنحاول

اختبار النمط التالي وهل يمكن الهجوم عليه ام لا https://t.co/eMve1JVnld