实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，攻击者可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。攻击者可以利用此缺陷执行 Denial of Service (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例 1：如果在已知易受攻击的代码中使用以下正则表达式，则可能发生拒绝服务攻击：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

依赖具有缺陷的正则表达式的问题代码示例如下：

NSString *regex = @"^(e+)+$";
NSPredicate *pred = [NSPRedicate predicateWithFormat:@"SELF MATCHES %@", regex];
if ([pred evaluateWithObject:mystring]) {
  //do something
}

大多数正则表达式解析器在计算正则表达式时都会构建 Nondeterministic Finite Automaton (NFA) 结构。在找到完全匹配之前，NFA 会尝试所有可能的匹配。在上例中，如果攻击者提供匹配字符串“eeeeZ”，则正则表达式解析器必须进行 16 次内部求值才能发现匹配项。如果攻击者使用 16 个“e”（“eeeeeeeeeeeeeeeeZ”）作为匹配字符串，则正则表达式解析器必须进行 65536 (2^16) 次计算。通过增加连续的匹配字符数，攻击者可以轻易地消耗计算资源。已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。 此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。 此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方法均无法避免这种攻击。 所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

(e+)+
([a-zA-Z]+)*

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。
示例：

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

实施正则表达式评估程序及相关方法时存在漏洞，在评估包含自重复分组表达式的正则表达式时，该漏洞会导致线程挂起。此外，还可以利用任何包含相互重叠的替代子表达式的正则表达式。此缺陷可被攻击者用于执行拒绝服务 (DoS) 攻击。

示例 1：如果在已知易受攻击的代码中使用以下正则表达式，则可能发生拒绝服务攻击：

(e+)+
([a-zA-Z]+)*
(e|ee)+

依赖具有缺陷的正则表达式的问题代码示例如下：

let regex : String = "^(e+)+$"
let pred : NSPredicate = NSPRedicate(format:"SELF MATCHES \(regex)")
if (pred.evaluateWithObject(mystring)) {
  //do something
}

大多数正则表达式解析器在计算正则表达式时都会构建 Nondeterministic Finite Automaton (NFA) 结构。在找到完全匹配之前，NFA 会尝试所有可能的匹配。在Example 1 中，如果攻击者提供了匹配字符串“eeeeZ”，则正则表达式解析器必须经过 16 次内部求值才能识别出匹配项。如果攻击者使用 16 个“e”（“eeeeeeeeeeeeeeeeZ”）作为匹配字符串，则正则表达式解析器必须进行 65536 (2^16) 次计算。通过增加连续的匹配字符数，攻击者可以轻易地消耗计算资源。已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。

将用户控制的数据附加到使用默认支持字符数组大小 (16) 进行初始化的 StringBuilder 或 StringBuffer 实例，会导致应用程序在调整基础数组的大小以适应用户数据时占用大量堆内存。将数据附加到 StringBuilder 或 StringBuffer 实例上时，实例将确定支持字符数组是否有足够的可用空间来存储数据。如果数据不合适，StringBuilder 或 StringBuffer 实例将会创建新的数组，其容量至少为以前数组大小的两倍，而旧数组在进行回收之前，将继续留在堆中。攻击者可以利用此实现详细信息执行 Denial of Service (DoS) 攻击。

示例 1：用户控制的数据附加到使用默认构造函数进行初始化的 StringBuilder 实例。

    ...
    val sb = StringBuilder()
    val labels = request.getParameterValues("label")
    for (label in labels) {
        sb.appendln(label)
    }
    ...

当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：在这个经典的 code injection 实例中，报告可以实施一个基本的计算器，该计算器允许用户指定执行命令。

...
user_ops = request->get_form_field( 'operation' ).
CONCATENATE: 'PROGRAM zsample.| FORM calculation. |' INTO code_string,
             calculator_code_begin user_ops calculator_code_end INTO code_string,
			 'ENDFORM.|' INTO code_string.
SPLIT code_string AT '|' INTO TABLE code_table.
GENERATE SUBROUTINE POOL code_table NAME calc_prog.
PERFORM calculation IN PROGRAM calc_prog.
...

当 operation 参数的值为良性值时，程序可以正常运行。但是，如果攻击者指定的语言操作有效，而且为恶意操作时，只有在对主进程具有完全权限的情况下才能执行这些操作。当注入的代码可以访问系统资源或执行系统命令时，这类攻击的危险性进一步加大。例如，如果攻击者打算将“MOVE 'shutdown -h now' to cmd.CALL 'SYSTEM' ID 'COMMAND' FIELD cmd ID 'TAB' FIELD TABL[].”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：在这个经典的 code injection 实例中，应用程序可以实施一个基本的计算器，该计算器允许用户指定执行命令。

...
        var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
        var userOps:String = String(params["operation"]);
        result = ExternalInterface.call("eval", userOps);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "8 + 7 * 2" 时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。对于 ActionScript，攻击者可以利用这种漏洞进行跨站点脚本攻击。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
    public static object CEval(string sCSCode)
    {
        CodeDomProvider icc = CodeDomProvider.CreateProvider("CSharp"); 
        CompilerParameters cparam = new CompilerParameters();
        cparam.ReferencedAssemblies.Add("system.dll");
        cparam.CompilerOptions = "/t:library";
        cparam.GenerateInMemory = true;

        StringBuilder sb_code = new StringBuilder("");
        sb_code.Append("using System;\n");
        sb_code.Append("namespace Fortify_CodeEval{ \n");
        sb_code.Append("public class FortifyCodeEval{ \n");
        sb_code.Append("public object EvalCode(){\n");
        sb_code.Append(sCSCode + "\n");
        sb_code.Append("} \n");
        sb_code.Append("} \n");
        sb_code.Append("}\n");

        CompilerResults cr = icc.CompileAssemblyFromSource(cparam, sb_code.ToString());
        if (cr.Errors.Count > 0)
        {
            logger.WriteLine("ERROR: " + cr.Errors[0].ErrorText);
            return null;
        }

        System.Reflection.Assembly a = cr.CompiledAssembly;
        object o = a.CreateInstance("Fortify_CodeEval.FortifyCodeEval");

        Type t = o.GetType();
        MethodInfo mi = t.GetMethod("EvalCode");

        object s = mi.Invoke(o, null);
        return s;
    }
...

如果 sCSCode 参数的值为良性值，程序就可以正常运行。例如，当该值为“return 8 + 7 * 2”时，函数 CEval 的返回值为 22。但是，如果攻击者指定的语言操作有效，而且为恶意操作时，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，.Net 允许调用 Windows API；如果攻击者计划将“return System.Diagnostics.Process.Start(\"shutdown\", \"/s /t 0\");”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：在这一典型的代码注入示例中，应用程序实施的基本计算器允许用户指定要执行的命令。

...
	userOp = form.operation.value;
	calcResult = eval(userOp);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "8 + 7 * 2" 时，calcResult 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。对于 JavaScript，攻击者还可以利用这种漏洞进行 cross-site scripting 攻击。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：下列代码使用 UITextField 的输入，以动态更改 WKWebView 中内容的背景颜色：

...
@property (strong, nonatomic) WKWebView *webView;
@property (strong, nonatomic) UITextField *inputTextField;
...
[_webView evaluateJavaScript:[NSString stringWithFormat:@"document.body.style.backgroundColor="%@";", _inputTextField.text] completionHandler:nil];
...

当 UITextField 输入是良性值（如“blue”）时，程序可以正常运行，在这种情况下，webView 中的 <body> 元素会设置为蓝色背景样式。然而，如果攻击者提供仍然有效的恶意输入，则也许能够执行任意 JavaScript 代码。例如，因为 JavaScript 可以访问特定类型的私人信息（如 cookies），所以如果攻击者指定 “white";document.body.innerHTML=document.cookie;”作为 UITextField 的输入，cookie 信息将会以可视方式写入页面中。当底层语言提供了对系统资源的访问或允许执行系统命令时，此类攻击甚至更危险，因为在这些情况下，将在对主进程具有完全权限的情况下执行注入的代码。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：在这个经典的 code injection 实例中，应用程序可以实施一个基本的计算器，该计算器允许用户指定执行命令。

...
	$userOps = $_GET['operation'];
	$result = eval($userOps);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为“8 + 7 * 2”时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作是有效的，又是恶意的，那么，将在对主进程具有完全权限的情况下执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，如果攻击者计划将“exec('shutdown -h now')”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：在这个经典的 code injection 实例中，应用程序可以实施一个基本的计算器，该计算器允许用户指定执行命令。

...
userOps = request.GET['operation']
result = eval(userOps)
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为“8 + 7 * 2”时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作是有效的，又是恶意的，那么，将在对主进程具有完全权限的情况下执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。例如，如果攻击者计划将“os.system('shutdown -h now')”指定为 operation 的值，主机系统就会执行关机命令。

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。
示例：在此代码注入示例中，应用程序实现了一个基本的计算器，以便允许用户指定要执行的命令。

...
  user_ops = req['operation']
  result = eval(user_ops)
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "8 + 7 * 2" 时，result 变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。借助 Ruby，这可以实现，因为通过使用分号 (;) 分隔这些行，可以运行多个命令，此外，使用一个简单的注入，也可以运行多个命令，同时还没有破坏程序。
如果攻击者要提交参数 operation "system(\"nc -l 4444 &\");8+7*2"，那么这将打开端口 4444 以侦听计算机上的连接，然后仍然将值 22 返回到 result

许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞：然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。

示例：下列代码使用 UITextField 的输入，以动态更改 WKWebView 中内容的背景颜色：

...
var webView : WKWebView
var inputTextField : UITextField
...
webView.evaluateJavaScript("document.body.style.backgroundColor="\(inputTextField.text)";" completionHandler:nil)
...

当 UITextField 输入是良性值（如“blue”）时，程序可以正常运行，在这种情况下，webView 中的 <body> 元素会设置为蓝色背景样式。然而，如果攻击者提供仍然有效的恶意输入，则也许能够执行任意 JavaScript 代码。例如，因为 JavaScript 可以访问特定类型的私人信息（如 cookies），所以如果攻击者指定 “white";document.body.innerHTML=document.cookie;”作为 UITextField 的输入，cookie 信息将会以可视方式写入页面中。当底层语言提供了对系统资源的访问或允许执行系统命令时，此类攻击甚至更危险，因为在这些情况下，将在对主进程具有完全权限的情况下执行注入的代码。

许多现代语言都允许动态解析源代码指令。如果程序员需要由用户提供的指令对数据操作，这种情况下可以应用这种功能。当然，我们更愿意利用底层语言构造，而不是通过执行代码来解析用户输入。由用户提供的指令预期执行一些无害的操作，例如，对当前的用户对象进行简单计算或修改用户对象的状态，等等。然而，如果程序员不够细心，用户指定的操作范围可能会超出程序员最初的设想。

示例：允许用户指定底层编程构造的典型示例应用程序是计算器。以下 ASP 代码可接受由用户指定的要进行计算并返回结果的基本数学操作：

...
	strUserOp = Request.Form('operation')
	strResult = Eval(strUserOp)
...

在 operation 参数为“8 + 7 * 2”的示例中，程序的预期行为是可行的。strResult 变量应返回的值为 22。然而，如果用户打算指定其他有效的语言操作，那么系统不仅会执行这些操作，还会在对主进程具有完全权限的情况下执行。如果底层语言提供了访问系统资源的途径，或者允许执行系统命令，那么执行任意代码会更加危险。例如，如果攻击者打算将 operation 指定为“Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')”，主机系统会执行关机命令。