Aikido
Comece Gratuitamente
Não é necessário cc
Regras

Por que você deve evitar recursão sem proteção de profundidade

Risco de Bug

Publicado em:
8 de dezembro de 2025
Última atualização em:
8 de dezembro de 2025
Regra
Evite recursão sem proteção proteção.
Recursão sem proteção limitação limitação riscos pilha
transbordamento e cria DoS vulnerabilidades a partir de entradas
entradas. Recursão com profundidade limites e e limites
limites verificação é aceitável.

Suporte a idiomas: 45+

Introdução

Funções recursivas sem limites de profundidade podem esgotar a pilha de chamadas (call stack), causando falhas. Entradas maliciosas, como objetos JSON profundamente aninhados ou estruturas de dados cíclicas, podem desencadear recursão ilimitada intencionalmente. Uma única requisição maliciosa pode derrubar seu serviço ao exceder os limites da pilha, criando uma vulnerabilidade de negação de serviço (denial-of-service) trivial de explorar.

Por que isso importa

Implicações de segurança (ataques DoS): Atacantes podem criar entradas que desencadeiam recursão profunda, travando sua aplicação. JSON, XML ou estruturas de dados aninhadas profundamente são vetores de ataque comuns. Uma única requisição maliciosa esgota a pilha, derrubando todo o serviço para todos os usuários.

Estabilidade do sistema: Erros de stack overflow travam o processo imediatamente sem degradação elegante. Em produção, isso significa requisições perdidas, transações interrompidas e indisponibilidade do serviço. A recuperação exige reiniciar a aplicação inteira.

Esgotamento de recursos: A recursão ilimitada consome memória da pilha exponencialmente. Cada chamada recursiva adiciona um frame à pilha, e cadeias de recursão profundas podem consumir megabytes de memória. Isso afeta outros processos no mesmo servidor e pode desencadear condições de falta de memória.

Exemplos de código

❌ Não-conforme:

function processNestedData(obj) {
    if (typeof obj !== 'object' || obj === null) {
        return obj;
    }

    const result = {};
    for (const key in obj) {
        result[key] = processNestedData(obj[key]);
    }
    return result;
}

Por que está errado: Nenhum limite de profundidade permite que invasores enviem objetos profundamente aninhados que excedem os limites da pilha. Entrada como {a: {a: {a: {...}}}} aninhado a 10.000 níveis de profundidade trava a aplicação com estouro de pilha (stack overflow). A função recursa cegamente sem verificar a profundidade.

✅ Compatível:

function processNestedData(obj, depth = 0, maxDepth = 100) {
    if (depth > maxDepth) {
        throw new Error('Maximum nesting depth exceeded');
    }

    if (typeof obj !== 'object' || obj === null) {
        return obj;
    }

    const result = {};
    for (const key in obj) {
        result[key] = processNestedData(obj[key], depth + 1, maxDepth);
    }
    return result;
}

Por que isso importa: O maxDepth o parâmetro limita a recursão a 100 níveis, prevenindo estouro de pilha (stack overflow). Este limite é alto o suficiente para estruturas de dados aninhadas legítimas (a maioria dos dados do mundo real raramente excede 10-20 níveis), ao mesmo tempo em que é baixo o suficiente para interromper ataques antes de consumir uma quantidade significativa de memória da pilha. Entradas maliciosas profundamente aninhadas geram um erro em vez de travar a aplicação. A verificação de profundidade ocorre antes do processamento, falhando rapidamente quando os limites são excedidos.

Conclusão

Adicione parâmetros de profundidade a todas as funções recursivas que processam dados externos. Defina profundidades máximas razoáveis com base na complexidade esperada da estrutura de dados. Lance erros ou retorne valores padrão quando os limites de profundidade forem excedidos em vez de falhar.

Ir para:
Link de Texto
<div class="toc-wrap"><a class="toc" name=":zap:Part I: Sales Cycle with Potential Lead" fs-toc-element="link"></a></div>

Aplique esta regra no seu repositório

Experimente gratuitamente
Não é necessário cartão
Agendar uma demonstração
Compartilhar:

www.aikido.dev/code-quality-rules/por-que-voce-deve-evitar-recursao-sem-protecao-de-profundidade

FAQs

Dúvidas?

Qual é uma profundidade máxima de recursão razoável?

Depende das suas estruturas de dados. Para parsing de JSON ou travessia de árvore, 100-1000 níveis é razoável. A maioria das estruturas de dados legítimas não excede 10-20 níveis. Defina limites com base no seu domínio, mas sempre tenha limites. Monitore a produção para ver as profundidades reais e ajuste conforme necessário.

Como converter recursão em iteração?

Utilize pilhas ou filas explícitas. Substitua chamadas recursivas por um loop que empurra itens para uma pilha, depois os retira e processa. Isso lhe dá controle total sobre o uso de memória e a profundidade. Para travessia de árvores, a iteração em largura (breadth-first) ou em profundidade (depth-first) com estruturas de dados explícitas previne o estouro de pilha (stack overflow).

Devo verificar a profundidade no início ou no final de chamadas recursivas?

No início, antes de qualquer processamento. Isso falha rapidamente quando os limites são excedidos, evitando o desperdício de computação em dados que serão rejeitados. Cláusulas de guarda na entrada da função tornam as verificações de profundidade explícitas e fáceis de auditar.

Como lidar com referências cíclicas em funções recursivas?

Rastreie objetos visitados em um Set ou WeakSet. Antes de recursar, verifique se o objeto já foi visitado. Se sim, ignore-o, lance um erro ou retorne um placeholder. Isso evita recursão infinita de estruturas de dados circulares: obj.child.parent === obj.

Regras relacionadas

13 de janeiro de 2026
Atualizações de Produto e da Empresa

De “No Bullsh*t Security” a US$ 1 bilhão: acabamos de levantar US$ 60 milhões na Série B

Aikido um financiamento de US$ 60 milhões na Série B, com uma avaliação de US$ 1 bilhão, acelerando a sua visão de software autoprotegido e testes de penetração contínuos.

Nenhum item encontrado.
8 de janeiro de 2026
Vulnerabilidades e Ameaças

Vulnerabilidade Crítica no n8n Permite Execução Remota de Código Não Autenticada (CVE-2026-21858)

Uma vulnerabilidade crítica no n8n (CVE-2026-21858) permite a execução remota de código não autenticada em instâncias auto-hospedadas. Saiba quem é afetado e como remediar.

#Vulnerabilidades

6 de janeiro de 2026
Aikido

Teste de penetração orientado por IA da Coolify: sete CVEs identificados

O teste de penetração orientado por IA da Coolify identificou sete CVEs, incluindo vulnerabilidades de escalonamento de privilégios e execução remota de código. As descobertas foram divulgadas e corrigidas de forma responsável.

#Testes de Penetração com IA

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.