# Inefficient Regular Expression Complexity (CWE-1333)

The product uses a regular expression with an inefficient, possibly exponential worst-case computational complexity that consumes excessive CPU cycles.

**Stack:** Go

- Prevalence: Średnia Pokryto 3 języków
- Impact: Wysoki 1 reguł o wysokim poziomie
- Prevention: Udokumentowane 3 przykładów poprawek

**OWASP:** Injection (A03:2021-Injection) - #3

## Description

Certain regular expression patterns can take exponential time to evaluate on certain inputs (ReDoS). Attackers can craft inputs that cause the regex engine to consume excessive CPU time, leading to denial of service.

## Prevention

Strategie zapobiegania dla ReDoS oparte na 1 regułach detekcji Shoulder.

### Go

Avoid nested quantifiers in regex; use specific character classes instead

## Consequences

- DoS

## Mitigations

- W wyrażeniach regularnych unikaj zagnieżdżonych kwantyfikatorów i nakładających się alternatyw
- Stosuj mechanizmy limitów czasu dla wyrażeń regularnych
- Rozważ użycie silników regex bez backtrackingu

## Detection

- Total rules: 3
- Languages: go, javascript, typescript, python

## Rules by Language

### Go (1 rules)

- **Regular Expression Denial of Service** [MEDIUM]: Regex pattern with nested quantifiers causes catastrophic backtracking.
  - Remediation: Avoid nested quantifiers like (a+)+. Use possessive quantifiers or atomic groups.

```go
// Avoid patterns like: (a+)+, (.*)*
// Use specific patterns instead
re := regexp.MustCompile(`^[a-z]+$`)
```

Learn more: https://shoulder.dev/learn/go/cwe-1333/regex-dos