Upgrade to Pro — share decks privately, control downloads, hide ads and more …

その正規表現、異議あり! 〜 ReDoSについて

Avatar for Shu OGAWARA Shu OGAWARA
April 24, 2019
Technology
2
5.9k

その正規表現、異議あり! 〜 ReDoSについて

2019/04/24の銀座Rails#8での発表資料です。
スライド中で紹介している拙作gemはこちら https://github.com/expajp/reredos

Avatar for Shu OGAWARA

Shu OGAWARA

April 24, 2019
Tweet

More Decks by Shu OGAWARA

See All by Shu OGAWARA
あなたの「仮説検証」、ゆがんでいませんか? / Isn't Your "Hypothesis Verification" Distorted? #emoasis
Avatar for Shu OGAWARA expajp
2
370
Rubyはなぜ「たのしい」のか? / Why is Ruby a programmers' best friend? #tqrk15
Avatar for Shu OGAWARA expajp
5
2k
エンジニアリングマネージャーはどう学んでいくのか #devsumi / How Do Engineering Managers Continue to Learn and Grow?
Avatar for Shu OGAWARA expajp
8
5.2k
RubyKaigi参加歴をふりかえる / Looking Back on My RubyKaigi Participation History #kaigieffectLT
Avatar for Shu OGAWARA expajp
3
510
わたしのメタ学習 / My Own Meta Learning #shinjukurb
Avatar for Shu OGAWARA expajp
0
460
ActiveSupport::Concernで開くメタプログラミングの扉 #heiseirubykaigi / The door of meta-programing is opened by ActiveSupport::Concern
Avatar for Shu OGAWARA expajp
1
2.3k
実践Railsアプリケーション設計 #meetup_rails / Practical Rails Application Design
Avatar for Shu OGAWARA expajp
4
39k
【2019/07/06 TamaRuby会議01】brainf*ck処理系で理解するパターンマッチングをつかった疎結合な実装
Avatar for Shu OGAWARA expajp
2
2.7k
【2018/12/08 RailsDM】「あの人」に学ぶ!駆け出しRailsエンジニアの日常の過ごし方
Avatar for Shu OGAWARA expajp
10
1.4k

Other Decks in Technology

See All in Technology
どこで動かすか、誰が動かすか 〜 kintoneのインフラ基盤刷新と運用体制のシフト 〜
Avatar for Shin'ya Ueoka ueokande
0
170
いま、あらためて考えてみるアカウント管理 with IaC / Account management with IaC
Avatar for kohbis kohbis
2
630
ウォンテッドリーのアラート設計と Datadog 移行での知見
Avatar for Kazuki Obata donkomura
0
290
会社にデータエンジニアがいることでできるようになること
Avatar for 10xinc 10xinc
9
1.5k
Amazon Bedrock AgentCore でプロモーション用動画生成エージェントを開発する
Avatar for Kiminori Yokoi nasuvitz
6
370
Delegate authentication and a lot more to Keycloak with OpenID Connect
Avatar for Alexander Schwartz ahus1
0
240
広島銀行におけるAWS活用の取り組みについて
Avatar for Masaki Mori[JAWS-UG広島] masakimori
0
110
第64回コンピュータビジョン勉強会@関東(後編)
Avatar for TSUKAMOTO Kenji tsukamotokenji
0
220
S3のライフサイクル設計でハマったポイント
Avatar for Kumada mkumada
0
100
LLM時代の検索とコンテキストエンジニアリング
Avatar for shibuiwilliam shibuiwilliam
2
1.1k
第4回 関東Kaggler会 [Training LLMs with Limited VRAM]
Avatar for tascj tascj
11
1.5k
生成AIによるソフトウェア開発の収束地点 - Hack Fes 2025
Avatar for vaaaaanquish vaaaaanquish
35
16k

Featured

See All Featured
Code Reviewing Like a Champion
Avatar for maltzj maltzj
525
40k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
139
34k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.8k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
83
9.1k
The Language of Interfaces
Avatar for Des Traynor destraynor
160
25k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
358
30k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
56
5.8k

Transcript

  1. ͦͷਖ਼نදݱɺҟٞ͋Γʂ ʙ ReDoSʹ͍ͭͯ Shu OGAWARA(@expajp) 2019/04/24 ۜ࠲Rails #8

  2. ਖ਼نදݱ࢖ͬͯ·͔͢ʁ

  3. ϝΞυͷόϦσʔγϣϯʹ ਖ਼نදݱΛ࢖͍ͬͯΔਓ

  4. ͦΕ͸΋͔ͯ͜͠͠ΜͳͷͰ͸ʁ 2019/04/24 4

  5. ໰୊ͳͦ͞͏ 2019/04/24 5

  6. ग़యɿχίχɾίϞϯζ http://commons.nicovideo.jp/material/nc38409

  7. ͜ͷਖ਼نදݱʹ͸ɺ ੬ऑੑ͕͋Δ

  8. ࣮ࡍʹ͝ཡ͍ͩ͘͞

  9. ςετεΫϦϓτ 2019/04/24 9 ग़యɿਖ਼نදݱͰͷϝʔϧΞυϨενΣοΫ͸ݟ௚͢΂͖ – ReDoS – yohgaki's blog https://blog.ohgaki.net/redos-must-review-mail-address-validation

  10. ࣮ߦ݁Ռ 2019/04/24 10

  11. ݪҼ • ਖ਼نදݱΤϯδϯʹѱຐͷূ໌Λ΍Β͍ͤͯΔ • ʮ೚ҙ௕ͷจࣈྻʯදݱ͕ଓ͘ͱ ੾Ε໨͕Θ͔Βͳ͍ͷͰɺશύλʔϯΛௐ΂Δ – શύλʔϯΛௐ΂ͳ͍ͱ Ϛον͠ͳ͍͜ͱ͸֬ఆͰ͖ͳ͍ –

    ૊Έ߹Θ͕ͤരൃ͍ͯ͠Δ 2019/04/24 11

  12. ࣮ࡍʹ૊Έ߹Θ͕ͤ രൃ͍ͯ͠Δ༷ࢠΛ ͝ཡ͍ͩ͘͞

  13. ؆୯ͷͨΊ • ݟͤΔͷ͸͜ͷ෦෼ͷνΣοΫͷΈ 2019/04/24 13

  14. ૊Έ߹Θͤരൃ • host. ·ͰϚονͯ͠ɺ࣍ 2019/04/24 14

  15. ૊Έ߹Θͤരൃ • . (υοτ) ·ͰϚον͕ͨ͠ 2019/04/24 15

  16. ૊Έ߹Θͤരൃ • ͦͷޙΖ͕ҧ͏ͷͰ໭Δ 2019/04/24 16

  17. ૊Έ߹Θͤരൃ • ΍ͬͺΓҧ͏ͷͰ1ͭ໭ΔɺΛ܁Γฦ͠ 2019/04/24 17

  18. ૊Έ߹Θͤരൃ • ͜͜·Ͱ໭Δ 2019/04/24 18

  19. ૊Έ߹Θͤരൃ • ࠷ޙ·Ͱ໭ͬͯ΋ɺ΍ͬͺΓϚον͠ͳ͍ 2019/04/24 19

  20. ૊Έ߹Θͤരൃ • * Λ0ճͱղऍͯ࣍͠Λௐ΂Δ 2019/04/24 20

  21. ૊Έ߹Θͤരൃ • ΍ͬͺΓϚον͠ͳ͍ͷͰ1ͭͣͭޙΖʹ 2019/04/24 21

  22. ૊Έ߹Θͤരൃ • 1ݸͣͭ໭ͬͯ΍ͬͱϚον͠ͳ͍ͷ͕֬ఆ 2019/04/24 22

  23. ͜Ε͕ԿΛҙຯ͢Δ͔ʁ

  24. ԿΛҙຯ͢Δ͔ • ௚લ·ͰҰகͯ͠ɺ ࠷ޙͷ1จࣈ͚ͩϚον͠ͳ͍จࣈྻΛ ϝʔϧΞυϨεཝʹ์ΓࠐΉ͚ͩͰ DoS߈ܸ͕Ͱ͖Δ 2019/04/24 24

  25. DoS߈ܸ • Ϧιʔεʹҙਤతʹա৒ͳෛՙΛ͔͚ͨΓ ੬ऑੑΛ͍ͭͨΓ͢ΔࣄͰ αʔϏεΛ๦֐͢Δ߈ܸख๏ͷ͜ͱ – F5ΞλοΫͱ͔ • ਖ਼نදݱΛ࢖ͬͨDoS͸ReDoSͱݺ͹ΕΔ 2019/04/24

    25

  26. ͞Βʹ൵͍͜͠ͱʹɺ ϝΞυͷ௕͞Ͱ஄͚ͳ͍

  27. ࣮ߦ݁Ռ 2019/04/24 27

  28. ϝʔϧΞυϨεͷఆٛ • RFC1035, 5321ΑΓ – ϝʔϧΞυϨεશମ͸256จࣈҎ಺ – Ϣʔβ໊ʢ@ͷલʣ͸64จࣈҎ಺ – υϝΠϯ͸255จࣈҎ಺

    – υϝΠϯͷϥϕϧ͸63จࣈҎ಺ • test.example.com <- ྫ͑͹͜͜ – ଞɺ࢖͑Δจࣈ΋ܾ·͍ͬͯΔ 2019/04/24 28

  29. Ͳ͏͢Ε͹Α͍ͷ͔ʁ

  30. จࣈྻΛ۠੾ͬͯ୹͘͠ γϯϓϧͳਖ਼نදݱͰ൑ఆ

  31. ͱ͸͍͑ɺ ͍͍࣮ͪͪ૷͢Δͷ͸໘౗

  32. ͱ͍͏Θ͚Ͱ (FNΛ࡞Γ·ͨ͠

  33. reredos 2019/04/24 33

  34. reredos • ReDoSʹڧ͍ϝΞυͷόϦσʔγϣϯΛߦ͍ɺ true/false Ͱฦ͢γϯϓϧͳgem • ࠓޙͷ༧ఆ – ଘࡏ͠ͳ͍TLDΛ஄͘ –

    URLʹରԠ͢Δ • PR͓଴ͪͯ͠·͢ 2019/04/24 34

  35. ·ͱΊ • ਖ਼نදݱͰDoS߈ܸΛ͔͚Δख๏͕͋Δ – ReDoSͱ͍͏ • ෳࡶͳਖ਼نදݱ͸ආ͚Δ΂͖ – ࢓༷ΛͪΌΜͱಡΜͰɺ୹͍୯ҐͰνΣοΫΛ͢ Δ͜ͱΛ৺͕͚Α͏

    • ϝΞυͰόϦσʔγϣϯ͔͚ΔgemΛ࡞ͬͨ 2019/04/24 35

  36. ฏ੒͕ऴΘΔલʹରԠ͠Α͏

  37. ࣗݾ঺հ • Shu OGAWARA (@expajp ) – ϦϯΧʔζגࣜձࣾ – Ruby/Railsྺ2೥ऑ

    – ग़਎͸ௗऔɺେֶ͸ਆށ – झຯ͸ΫϥγοΫܥͷ߹এ 2019/04/24 37