Checkmarx | Server_Dos_by_Loop (Node.js)

問題

最近 Node.js 的程式被 Checkmarx 掃出有 Server_Dos_by_Loop Issue.
依 Checkmarx 的建議需要加上迴圈數量的限制,例如,

1
2
3
4
5
6
7
const MAX_ITERATIONS = 120;
const iterations = req.query.iterations;
if (iterations < MAX_ITERATIONS) {
    for (let i = 0; i < iterations; i++) {
        // Perform action
    }
}

但依建議這樣子改,還是會噴一樣的問題。
而且有的還會改噴Unchecked_Input_For_Loop_Condition的 Issue。

解法

後來同事 Jer 建議直接將限制數放在 Loop 中,
在裡面去判斷大小,再跳出迴圈,就可以解掉 Checkmarx 亂噴的問題。
一開始的程式如下,

1
2
3
4
5
6
7
8
9
replaceNullToEmpty(data) {
	let keys = Object.keys(data);
	for (let i = 0; i < keys.length; i++) {
		if (!data[keys[i]]) {
			data[keys[i]] = "";
		}
	}
	return data;
}

改成取最小的迴圈數,

1
2
3
4
5
6
7
8
9
10
11
replaceNullToEmpty(data) {
	let keys = Object.keys(data);
	const MAX_ITERATIONS = 120;
	const loopCount =Math.min(keys.length, MAX_ITERATIONS);
	for (let i = 0; i < loopCount; i++) {
		if (!data[keys[i]]) {
			data[keys[i]] = "";
		}
	}
	return data;
}

Checkmarx 還是噴 ….

改成先用 限制迴圈 ,再到 Loop 中判斷要不要跳出去,如下,

1
2
3
4
5
6
7
8
9
10
11
12
replaceNullToEmpty(data) {
	let keys = Object.keys(data);
	const MAX_ITERATIONS = 120;
	const loopCount = Math.min(keys.length, MAX_ITERATIONS);
	for (let i = 0; i < MAX_ITERATIONS; i++) {
		if (i >= loopCount) break;
		if (!data[keys[i]]) {
			data[keys[i]] = "";
		}
	}
	return data;
}

一筆難寫兩個字,一心難帶兩個人: 一心不可二用,凡事要專注一致。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw