BigDecimal DOS

最近学习了一个漏洞类型,是DOS。在上上篇文章里有提到。

以前觉得这样的很low。

我们直接进入主题。

这个漏洞起初我以为是bigdecimal下的add,muti**等加减乘除的方法会导致这个安全问题,结果发现是new一个对象的时候就会触发了。

所以类似下面的代码就直接会DOS

public String Index(@RequestParam String id) {
      BigDecimal test = new BigDecimal(id);

起初我在那篇文章里还讲如何修复,用BigDecimal.scale方法获得精度去判断来修复,其实……这方法不对,new对象对时候就DoS了。

所以我们在传入的string的时候就去做下判断长度.

   public String Index(@RequestParam String price) {
      if (price.length() > 40 || price.matches("(?i)e")) {

        return "参数传入过长";

      }
      BigDecimal test = new BigDecimal(price);

一个金额的参数怎么可能会存在e  – -。

当然还有一个问题 biginteger也会有这个问题。

当然 还有一个更快的解决问题的办法解决这个问题

发表评论

登录后才能评论
服务中心
服务中心
联系客服
联系客服
返回顶部