正则表达式拒绝服务（ReDoS）攻击是一种通过利用正则表达式引擎的病理最坏情况执行行为导致计算负载高度不对称、最终耗尽系统资源的漏洞类型。为了保护系统免受ReDoS攻击，已有多种检测技术被提出，这些技术通常通过生成攻击字符串来在开发早期主动利用ReDoS漏洞以促进修复。现有方法主要分为两类：一类是静态分析，查找有问题的正则表达式结构；另一类是动态探索方法，合成候选攻击字符串。然而，这些生成的攻击字符串在实际应用中往往不切实际，因为它们通常假设了不现实的输入长度预算，且未在程序级别验证攻击的有效性和效率。因此，许多字符串在应用于实际程序时无法触发易受攻击的正则表达式，限制了其实用性。为了解决这些不足，本文提出了PUFFERDOS，一种高效且有效的攻击字符串生成器，旨在合成既能在现实长度预算内可行又能通过程序级别验证的攻击输入，从而实现在真实程序中对ReDoS漏洞的有效利用。具体而言，首先基于观察和形式化验证定义了三种易受攻击的模式。根据这些模式，PUFFERDOS采用综合技术生成攻击字符串，然后通过ReDoS特定的组合符号执行（concolic execution）对字符串进行优化和验证，确保其在实际环境中可利用。该研究的核心贡献在于弥补了现有攻击字符串生成方法在实用性和有效性上的不足，为安全测试和漏洞修复提供了更可靠的工具。适合安全研究人员、开发者和安全工程师阅读。