BigDecimal DOS

admin 2021年11月26日02:29:46安全文章评论90 views575字阅读1分55秒阅读模式

外面在打雷 我好害怕   BigDecimal DOS


最近学习了一个漏洞类型,是DOS。在上上篇文章里有提到。

以前觉得这样的很low。


我们直接进入主题。


这个漏洞起初我以为是bigdecimal下的add,muti**等加减乘除的方法会导致这个安全问题,结果发现是new一个对象的时候就会触发了。

所以类似下面的代码就直接会DOS

public String Index(@RequestParam String id) {      BigDecimal test = new BigDecimal(id);


起初我在那篇文章里还讲如何修复,用BigDecimal.scale方法获得精度去判断来修复,其实……这方法不对,new对象对时候就DoS了。


所以我们在传入的string的时候就去做下判断长度.


public String Index(@RequestParam String price) { if (price.length() > 40 || price.matches("(?i)e")) {
return "参数传入过长";
} BigDecimal test = new BigDecimal(price);

一个金额的参数怎么可能会存在e  - -。


当然还有一个问题 biginteger也会有这个问题。

当然 还有一个更快的解决问题的办法解决这个问题

本文始发于微信公众号(xsser的博客):BigDecimal DOS

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月26日02:29:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  BigDecimal DOS http://cn-sec.com/archives/418281.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: