Researcher Exploits Regex Filter Flaw to Gain Remote Code Execution
2025/05/06 gbhackers — フロントエンドの正規表現フィルタ(/^[a-zA-Z0-9]{1,20}$/)により制限されるユーザー名フィールドが、対象となるアプリケーションには含まれており、英数字だけを受け入れるように設計されていた。当初、この方式は堅牢に見えたが、正規表現チェック後に、バックエンドが入力を再検証していないことを、研究者たちが発見した。この見落としにより、特別に細工されたペイロードがクライアント側の制御をバイパスし、サーバ上で任意のコマンドを実行できる状態になっていた。
Continue reading “Regex Filter の脆弱性:正規表現に対するバックエンド再検証が不可欠な理由とは?”
IoT OT Security News 