Make sure the regex used here, which is vulnerable to polynomial runtime due to backtracking

最新推荐文章于 2024-05-31 09:35:53 发布
最新推荐文章于 2024-05-31 09:35:53 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: sonarqube 文章标签: vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LG_15011399296/article/details/134646166
版权

一、介绍

拒绝服务攻击是大量机器访问web系统,导致资源耗尽不能提供服务。

正则表达式是一种用于匹配(编程语言中)字符串的模式。

正则表达式引起拒绝服务攻击,也叫ReDoS

正则表达式由正则表达式运算器处理。在 ReDoS 攻击期间,攻击者通过提供输入字符串强制正则表达式运算器陷入循环。当它处于循环中时,正则表达式运算器可能会花费大量时间,并消耗大量资源。这会导致其他合法客户端无法使用资源,并可能导致 Web 服务器和应用程序无响应并最终崩溃。

另一种情况可能是设计不良的正则表达式模式,这可能导致输入验证失败,在正则表达式运算器解析时会消耗大量时间等。

有害正则表达式模式是攻击者可以利用的正则表达式。根据 Wikipedia,这些是有害正则表达式模式的特征。

正则表达式将重复(+,*)应用于复杂的子表达式。
对于重复的子表达式,存在一个匹配,同时该匹配也是另一个有效匹配的后缀。

二、缺陷实例
请在浏览器 F12 开发者工具的控制台执行以下正则表达式匹配语句,感受下浏览器的变化:

/(a+)+z/.test('aaaaab')
/(a+)+z/.test('aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab')

对于第一个语句,浏览器很快给出匹配结果 false,但是对于第二个语句,浏览器允许半个小时都出不来结果,且观察 cpu 处于高占用率状态,同时浏览器当前 Tab 页无任何响应(只能强制关闭):

如此简单的正则匹配,JS引擎却陷入了“死循环”之中,原因下面会进行解释。
 

二、问题代码

三、检测正则表达式

ReDos攻击往往需要结合白盒审计才能有效发现存在缺陷的正则表达式。那么在已知源码的情况下,可以使用 Github regexploit验证。

地址:GitHub - doyensec/regexploit: Find regular expressions which are vulnerable to ReDoS (Regular Expression Denial of Service)

release包:Release Regexploit v1.0.0 · doyensec/regexploit · GitHub

安装regexploit:
C:\Python311\Scripts\pip.exe install regexploit-1.0.0-py3-none-any.whl

运行:

C:\Python311\Scripts\regexploit.exe

Welcome to Regexploit. Enter your regexes:
a+
No ReDoS found.
(00){1,}$
No ReDoS found.
^[a-zA-Z]+(([',.-][a-zA-Z ])?[a-zA-Z])$
No ReDoS found.
^(0-9a-zA-Z@(([0-9a-zA-Z])+([-\w][0-9a-zA-Z])*.)+[a-zA-Z]{2,9})$
Pattern: ^(0-9a-zA-Z@(([0-9a-zA-Z])+([-\w][0-9a-zA-Z])*.)+[a-zA-Z]{2,9})$
---
Redos(starriness=21, prefix_sequence=SEQ{ [0] [2d:-] [9] [a] [2d:-] [z] [A] [2d:-] [Z] [40:@] }, redos_sequence=SEQ{ SEQ{ [[a-z],[0-9],[A-Z]]{1+} SEQ{ [2d:-;WORD] [[a-z],[0-9],[A-Z]] }{0+} . }{1+} [[a-z],[A-Z]]{2,9} $None }, repeated_character=[[a-z],[A-Z]], killer=None)
Worst-case complexity: 21 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐ (exponential)
Repeated character: [[a-z],[A-Z]]
Example: '0-9a-zA-Z@' + 'a' * 3456

Redos(starriness=21, prefix_sequence=SEQ{ [0] [2d:-] [9] [a] [2d:-] [z] [A] [2d:-] [Z] [40:@] }, redos_sequence=SEQ{ [[a-z],[0-9],[A-Z]]{2+}{1+} [[a-z],[A-Z]]{2,9} $None }, repeated_character=[[a-z],[A-Z]], killer=None)
Worst-case complexity: 21 ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐ (exponential)
Repeated character: [[a-z],[A-Z]]
Example: '0-9a-zA-Z@' + 'a' * 3456

输入你想要检测的正则表达式,即可判断是否存在 ReDos 攻击,并且给出 Payload。

四、ReDos攻击的防范手段

  • 除非必须,否则尽量少用正则表达式;在使用正则表达式之前,请在 regex101.com 或其他在线资源等网站上测试它们。
  • 不要对用户输入的或不确定长度的数据进行正则检验
  • 尽可能找到适合的替代方法
  • 降低正则表达式的复杂度,尽量少用分组;
  • 严格限制用户输入的字符串长度(特定情况下);
  • 使用单元测试、fuzzing 测试保证安全;
  • 使用更高效的正则表达式引擎,例如https://github.com/google/re2
  • 测试正在使用易受攻击的正则表达式引擎或运算器

 

明算科
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DFA-to-GNFA-to-REGEX
03-09
在计算机科学领域,正则表达式(REGEX)是一种强大的工具,用于匹配字符串模式。而有限状态自动机(Finite State Automaton, FSA)是理解正则表达式的基础。本主题将深入探讨从确定性有限状态自动机(Deterministic ...
NFA-to-Regex
03-06
NFA到REGEX 将不确定的有限接受器转换为正则表达式。 介绍 非确定性有限接受器(NFA)是一种有限状态机,它读取字符串作为输入,并且可以接受或拒绝它。 与确定性有限接受器不同,NFA是不确定性的,这意味着在给定...
Boost::Regex 使用方法 (英文)
weixin_33812433的博客
11-18 147
摘自:Beyond.the.C.plus.plus.Standard.Library.An.Introduction.to.Boos Usage To begin using Boost.Regex, you need to include the header "boost/regex.hpp". Regex is one of the two libraries (the ot...
2021-07-07 Eslint 报错问题 ,已解决!
JZQSLJ的博客
07-07 1658
Eslint 报错问题 ,已解决! 最近在用vue 框架,经常会出现eslint 报错问题,以此记录问题解决。 eslintrc.Js文件修改 //**添加 'space-before-function-paren': 0,'indent': 'off',** rules: { 'space-before-function-paren': 0, 'indent': 'off', // allow async-await 'generator-star-spacing'
推荐项目:recheck - 可信赖的ReDoS检查器
最新发布
gitblog_00040的博客
05-31 398
推荐项目:recheck - 可信赖的ReDoS检查器 项目地址:https://gitcode.com/makenowjust-labs/recheck 1、项目介绍 在今天的软件开发中,安全问题始终是首要考虑的因素。recheck 是一个强大的开源工具,专门用于检测和预防 Regular Expression Denial of Service(ReDoS)攻击。这款工具由TSUYUSATO ...
sonar静态扫描安全靶场webgoat
seanyang_的博客
11-21 2537
安装sonar并配置对webgoat进行sonar扫描扫描结果。
JAVA编译错误
The key of Lix
03-16 827
持续总结更新中....... public class helloworld //helloworld作为类名,应该和*.java文件的文件名同名 { public static void main(String args[]) { System.out.println("Hello World !"); } } 否则出错如下
This account is currently not available 解决办法
小克马笔记
03-01 4399
问题描述 虚拟机用户登录时出现This account is currently not available提示 解决方案 username为你使用的用户名 usermod -s /bin/bash username
article-regex-primer.rar_The Few
09-14
It may also be beneficial to developers learning regex if used in conjunction with detailed documentation explaining the construction of regex patterns. Reading the javadoc forjava.util.regex. ...
howto-regex.pdf
04-22
howto-regex.pdf
LinqToRegex:LINQ to Regex 库提供了对 .NET 正则表达式的语言集成访问
05-30
LINQ to Regex 库提供对 .NET 正则表达式的语言集成访问。 它允许您直接在代码中创建和使用正则表达式,并开发复杂的表达式,同时保持其可读性和可维护性。 不需要了解正则表达式语法(但您应该熟悉基础知识)。 ...
在虚拟机上安装 Oracle 11g RAC 过程中遇 SCAN Name 配置错误的处理办法
数据库
02-05 361
Cause?-?The plug-in failed in its perform method Action?-?Refer to the logs or contact Oracle Support Services. Log File Location /u01/app/oraInventory/logs/installActions2013-01-04_08-37-53PM.lo...
智慧锦囊>第一节
AiShengHuo的博客
01-02 3215
1.release包在混淆状态下是不能打断点的,release包不混淆时打断点没有数据外显 2.NFC Android手机的NFC芯片本质只是一个tag reader/writer,要把自身模拟成tag,需要在驱动里把自己改造成可以控制的Secure Element 3.AndroidStudio 运行按钮出现差号 检查项:也和gradle也有关系,设置setting里面看一下 4.录屏软件 FastStone Capture 5.手机录屏、投屏工具 scrcpy-win64 6.jadx-g
The Table cannot be found on the database解决方法
Kingstarforever的专栏
09-27 2298
The Table <table name> cannot be found on the database解决方法 <br />hibernate2010-04-16 10:02:34阅读143评论0  字号:大中小 订阅 <br />使用JPA时提示错误 The Table <table name> cannot be found on the database ,产生这个问题的原因是项目的Java持久化设置问题,解决的办法很简单。<br />1.选中项目名称<br />2.右键菜单->properti
ReDoS防范
阳光男孩的专栏
03-12 5981
ReDoS--Regular expression Denial of Service,即正则表达式拒绝服务攻击。当开发人员使用了正则表达式来对用户输入的数据进行合法性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器的服务中断或停止
正则表达式所引发的DoS攻击(Redos)
systemino的博客
05-07 5263
正则表达式(或正则表达式)基本上是搜索模式。例如,表达式[cb]at将匹配cat和bat。这篇文章不是介绍一个正则表达式的教程,如果你对正则表达式了解不多,可在阅读之前点击https://medium.com/factory-mind/regex-tutorial-a-simple-cheatsheet-by-examples-649dc1c3f285了解。 首先,让我们介绍一些重点知...
那么一点的慌乱
killvoon的专栏
10-29 716
仓促的换了份工作,等待入职中,多是出于对自身的不自信,
regex to nfa python
11-14
以下是将正则表达式转换为NFA的Python代码示例: ```python def regexToNFA(regex): postfix = shunt(regex) nfaStack = [] for c in postfix: if c == '.': nfa2 = nfaStack.pop() nfa1 = nfaStack.pop() nfa1.end.edges.append(nfa2.start) nfaStack.append(NFA(nfa1.start, nfa2.end)) elif c == '|': nfa2 = nfaStack.pop() nfa1 = nfaStack.pop() start = State() start.edges.append(nfa1.start) start.edges.append(nfa2.start) end = State() nfa1.end.edges.append(end) nfa2.end.edges.append(end) nfaStack.append(NFA(start, end)) elif c == '*': nfa1 = nfaStack.pop() start = State() end = State() start.edges.append(nfa1.start) start.edges.append(end) nfa1.end.edges.append(nfa1.start) nfa1.end.edges.append(end) nfaStack.append(NFA(start, end)) else: nfaStack.append(createNFA(c)) return nfaStack.pop() ``` 这个函数将正则表达式转换为后缀表达式,然后使用NFA栈来构建NFA。在构建NFA时,我们使用三个基本的操作:连接、或和闭包。连接操作将两个NFA连接起来,或操作将两个NFA并排放置,闭包操作将一个NFA重复零次或多次。最终,我们将NFA堆栈中的最后一个元素弹出并返回。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明算科

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值