探索正则表达式安全:Regexploit - 一款强大的正则漏洞检测工具

于 2024-04-12 10:01:25 发布
阅读量493 收藏 8
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00049/article/details/137670359
版权

探索正则表达式安全:Regexploit - 一款强大的正则漏洞检测工具

regexploitFind regular expressions which are vulnerable to ReDoS (Regular Expression Denial of Service)项目地址:https://gitcode.com/gh_mirrors/re/regexploit

在软件开发中,正则表达式扮演着重要角色,用于数据验证和提取。然而,不恰当或过度复杂的正则表达式可能导致安全问题,如DoS(拒绝服务)攻击。为了解决这个问题, —— 一个自动化工具,专用于静态分析和测试正则表达式的潜在漏洞。

项目简介

Regexploit 是一个基于 Python 的开源工具,它能够检测出多种常见的正则表达式相关的安全漏洞,比如 ReDoS(Regular Expression Denial of Service)。通过解析输入的正则模式,Regexploit 可以模拟不同的恶意输入情况,帮助开发者识别并修复可能存在的安全风险。

技术分析

Regexploit 利用了抽象语法树(AST)的概念,将正则表达式转化为结构化的数据模型。然后,它采用了一套自定义的分析规则,对每个节点进行遍历和评估,检查是否存在可能导致性能崩溃的路径。此外,它还支持多种正则引擎,包括 PCRE (Perl Compatible Regular Expressions),Python 和 .NET。

主要特性:

  1. 自动化分析:只需提供正则表达式,Regexploit 就能自动执行安全性扫描。
  2. 多种引擎兼容:不仅适用于 Python,还能处理其他语言如 Java、C# 中的正则表达式。
  3. 详细的报告:当发现潜在问题时,Regexploit 提供清晰的错误消息和建议的修复方案。
  4. 可扩展性:由于其模块化的设计,你可以轻松添加新的分析规则或自定义行为。
  5. 实时调试:内置的交互式调试器允许逐步执行正则表达式,深入了解其工作原理。

应用场景

  • 代码审计:在软件上线前,对代码中的所有正则表达式进行安全审查。
  • 教育与研究:学习正则表达式安全的最佳实践,并理解为何某些模式可能引发安全问题。
  • 开发辅助:快速检测新编写或第三方库中引入的正则表达式是否安全。

如何开始使用?

Regexploit 可直接通过 Python 包管理器 pip 安装:

pip install regexploit

之后,利用以下命令开始分析你的正则表达式:

regexploit analyze --regex "your_regex_pattern"

项目的详细文档和示例可以在 GitCode 仓库中找到:

Regexploit 是保障应用程序安全的重要工具,尤其对于那些依赖正则表达式进行复杂数据验证的项目而言。无论你是开发者还是安全研究员,此工具都将助你一臂之力,确保你的应用免受 ReDoS 攻击之苦。现在就加入我们,一起探索更安全的正则世界吧!

regexploitFind regular expressions which are vulnerable to ReDoS (Regular Expression Denial of Service)项目地址:https://gitcode.com/gh_mirrors/re/regexploit

武允倩
关注
精通正则表达式笔记二---正则表达式基础概念?,+,*,{ },\,“ “,时间,小结
xjfhz的博客
12-12 1832
第一,第二节笔记学习了以下内容:几点注意事项:1、各个egrep程序是有差别的。它们支持的元字符,以及这些元字符的确切含义,通常都有差别—要参考相应的文档。2、使用括号的3个理由是:限制多选结构、分组和捕获文本。3、字符组的特殊性在于,关于元字符的规定是完全独立于正则表达式语言“主体”的。4、多选结构和字符组是截然不同的,它们的功能完全不同,只是在有限的情况下,它们的表现相同。5、排除型字符组同样是一种“肯定断言”一即使它的名字里包含了“排除”两个字,它仍然需要匹配一个字符。
Fortify漏洞之Denial of Service: Regular Expression
arkqyo2595的博客
06-05 2147
  继续对Fortify的漏洞进行总结,本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结,如下: 1、Denial of Service: Regular Expression 1.1、产生原因:   实施正则表达式评估程序及相关方法时存在漏洞,该漏洞会导致评估线程在处理嵌套和重复的正则表达式组的重复和交替重叠时挂起。此缺陷...
regexploit:查找容易受到ReDoS攻击的正则表达式正则表达式拒绝服务)
03-19
反潜 查找容易受到正则表达式拒绝服务(ReDoS)影响的正则表达式。 许多默认正则表达式解析器具有无限的最坏情况复杂度。当出现匹配的输入字符串时,正则表达式匹配可能很快。但是,某些不匹配的输入字符串会使正则表达式匹配器陷入疯狂的回溯循环中,并且需要花费很多时间来处理。这可能会导致拒绝服务,因为CPU会在尝试匹配正则表达式时卡住。 该工具旨在: 查找容易受到ReDoS攻击的正则表达式 举例说明将导致灾难性回溯的恶意字符串 最坏情况下的复杂性 这反映了正则表达式匹配器的回溯过程相对于输入字符串长度的复杂性。 这里的三次复杂度意味着,如果字符串的易受攻击的部分的长度加倍,则执行时间应大约长8倍(2 ^ 3)。对于具有加星标的指数ReDoS,例如(a*)*$将使用一个模糊系数,其复杂度将大于10。 为了可扩展性,除非允许真正的巨型弦作为输入,否则通常需要立方复杂度或更高。 例子 运行regexpl
SQL注入技术和跨站脚本的安全检测:正则表达式
xbbccx的专栏
05-01 3762
1. 介绍     在 最后两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有 遵循 安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注 入是指:通过互联网的输入区域,插入SQL meta-characters(特殊字符
菜鸟教程 python 正则表达式-安全检查中...
weixin_37988176的博客
10-29 67
+((!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![]+[])+(!+[]+(!![])+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![])+(!+[]-(!![]))+(!+[]+(!![])+!![]+!![])+(+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![])+(!+[]+(!...
代码审计之-正则表达式过滤不严格导致的漏洞
giaogiao123的博客
11-10 759
demo1 我们先来看个例子 在www目录下创建/tmp/tokens/shell.php <?php $path = str_replace('\\','/',__FILE__); define('PATH',dirname($path)); class TokenStorage{ /** * @param $action * @param $data * @throws Exception */ public function perfor
正则表达式漏洞引起的问题分析
NCS123456的博客
01-12 1853
问题 一天晚上突然收到同事反馈,其使用的一个正责表达式对收货人姓名处理时,输入某种字符不能正确保存,现象为服务端请求卡死,没有response返回给客户端;在测试环境重现该问题时通过jstack获取到的信息可以发现正则表达式在回溯处理,进一步通过RegexBuddy工具对该段正则表达式分析发现该该段正则表达式处理完成需要超过一百万次匹配如果有恶意用户发现该漏洞,对考拉发起ReDoS(Reg...
ReDoS-checker:检查您的正则表达式是否存在ReDoS漏洞
05-18
ReDoS-checker是一款专门用于检测JavaScript正则表达式是否含有ReDoS风险的工具,帮助开发者确保代码的安全性。** **ReDoS攻击原理:** 在某些情况下,正则表达式引擎在尝试匹配恶意构造的输入时可能会陷入无限循环...
彗星正则表达式类模块2.5-易语言
06-13
"彗星正则表达式类模块2.5-易语言"是专为易语言平台设计的一个功能强大的文本处理工具,它允许程序员通过正则表达式进行复杂的数据匹配、查找、替换等操作。在易语言中,这样的模块极大地扩展了语言的基础功能,提高...
正则表达式30分钟入门教程-附常用表达式.zip
07-11
计算机科学的一个概念。正则表达式通常被用来检索、替换那些符合某个模式(规则)的...例如,在Perl中就内建了一个功能强大正则表达式引擎。正则表达式这个概念最初是由Unix中的工具软件(例如sed和grep)普及开的。
易语言正则表达式测试工具源码-易语言
06-13
易语言正则表达式测试工具源码是一款专为学习和测试正则表达式设计的应用程序,它基于易语言编程环境开发。易语言是中国自主研发的一种简单易学、面向对象的编程语言,旨在降低普通用户的编程门槛。这个源码可以帮助...
正则表达式可能存在哪些安全问题
最新发布
m0_49521873的博客
05-24 986
因此,在编写应用程序时,应当对使用的正则表达式进行严格的安全性审查,避免发生安全问题,并在匹配过程中进行有效的过滤和校验,确保输入的数据不会被恶意利用。4. 跨站脚本攻击(XSS):攻击者可以通过构造恶意正则表达式,来窃取用户输入的敏感信息,并且在网页中展示恶意内容,造成跨站脚本攻击(XSS)。3. 文件路径穿越漏洞正则表达式在处理文件路径时,如果没有进行有效的过滤和校验,可能会被攻击者利用来进行路径穿越攻击,获取敏感信息。
正则表达式——7种免费测试工具
热门推荐
寒冰屋的专栏
12-13 1万+
在本文中,我们将概述创建和测试正则表达式的免费工具。即使一个人熟练地创建正则表达式,如果它们很复杂或者你不经常这样做,最好有一个可用的工具来测试不同文本上的正则表达式并验证它们是否正常工作。
常用的20个正则表达式校验
wang_dan_dan1的博客
08-19 5277
1 . 校验密码强度 密码的强度必须是包含大小写字母和数字的组合,不能使用特殊字符,长度在8-10之间。   ^(?=.*\\d)(?=.*[a-z])(?=.*[A-Z]).{8,10}$ 2. 校验中文   字符串仅能是中文。   ^[\\u4e00-\\u9fa5]{0,}$ 3. 由数字、26个英文字母或下划线组成的字符串   ^\\w+$ 4. 校验E-Mail
浅析ReDoS的原理与实践
weixin_34150224的博客
10-18 907
转载于http://www.freebuf.com/articles/network/124422.html ReDoS(Regular expression Denial of Service)正则表达式拒绝服务攻击。开发人员使用了正则表达式来对用户输入的数据进行有效性校验, 当编写校验的正则表达式存在缺陷或者不严谨时, 攻击者可以构造特殊的字符串来大量消耗服务器的系统资源,造成服务器...
利用重做
weixin_26636643的博客
09-27 348
Regex is everywhere on the Internet nowadays. Regex如今在Internet上无处不在。 From input validation code, web application firewalls, to malware detection rules, regex is becoming one of the most important cyb...
Regular Expression Matching
angelewings的专栏
11-04 431
首先明确一点s中是没有*和.的
八、node 错误汇总
Daniel的博客
09-02 2061
vue使用时提示有漏洞,那么就是直接按照后面提示的命令npm audit fix 就可以解决,所以只需要按照提示 npm audit fix。如果之后还会有报错,请清除缓存~
正则表达式的灾难性回溯
baidu_27487573的博客
06-11 5030
最近项目上在做Fortify安全漏洞扫描。其中有一项漏洞扫描规则为:Denial of Service: Regular Expression。是由于正则表达式带来的DOS攻击。       由于Fortify的扫描不够绝对的智能,因此,它将所有出现了正则表达式的代码,甚至String.split(regex)统统认为有正则表达式带来的DOS攻击风险。        项目上有很多同事来询问该扫
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武允倩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值