正規表現DoSから身を守る

Regex DoS 攻撃は、防御するのが最も簡単なDoSの形態であると思われるが、（本書のパートIIで示したように）攻撃がどのような構造になっているかについての予備知識が必要である。 適切なコードレビュープロセスを行うことで、コードベースに正規表現DoSシンク（悪意 ある正規表現）が入り込むのを防ぐことができる。

繰り返されるグループに対して重要なバックトレースを行う正規表現を探す必要がある。これらの正規表現は通常、(a[ab]*)+ に似た形式をとる。+ は、貪欲なマッチ（マッチする可能性のあるものをすべて発見してから返す）を行うことを示唆し、* は、可能な限り何度も部分式にマッチすることを示唆する。

正規表現はこの技術に基づいて構築することができるが、DoSリスクはないため、誤検出なしに悪意のある正規表現のインスタンスをすべて発見するのは時間がかかり、困難な場合がある。正規表現に悪意のあるセグメントがないかスキャンするOSSツールを使うか、正規表現パフォーマンス・テスターを使って入力を手動でチェックすることが大いに役立つケースだ。もしコードベースにこれらの正規表現が入り込むのを阻止できれば、アプリケーションを正規表現によるDoSから安全に守るための第一歩を踏み出したことになる。

第二のステップは、ユーザが提供した正規表現が利用される場所がアプリケーション内にないことを確認することである。ユーザがアップロードした正規表現を許可することは、地雷原を歩き、安全なルートマップを正しく記憶していることを祈るようなものだ。そのようなシステムを維持するためには膨大な座標の労力が必要であり、セキュリティの観点からは一般的に良くない考えである。

また、統合するアプリケーションがユーザが提供する正規表現を利用したり、粗悪な正規表現を利用したりしないようにしたい。