Tag: redos

O problemie pisaliśmy w krótki sposób kilka dni temu. TLDR: wejdźcie na https://regex101.com/ i wpiszcie ten fragment oryginalnego wyrażenia regularnego użytego przez Cloudflare w jednej z reguł WAF-a: .*(?:.*=.*) W „TEST STRING” możecie wpisać: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa; Silnik obsługujący wyrażenia regularne aby dopasować dość prosty i niedługi ciąg znaków potrzebuje wykonać około 7000 kroków!…

Jeśli używasz Springa i użyłeś jego komponentu OAUTH2 do zbudowania Authorization Serwera, lepiej sprawdź czy nie jesteś podatny na wykonanie kodu na serwerze (bez uwierzytelnienia). Wymagane warunki: Act in the role of an Authorization Server (e.g. @EnableAuthorizationServer) Use the default Approval Endpoint Kolejny, właśnie załatany problem to: CVE-2018-1258: Unauthorized Access with…