如何使用Regexploit识别ReDoS正则表达式拒绝服务攻击

关于Regexploit

Regexploit可以帮助广大研究人员找出易受正则表达式拒绝服务攻击(ReDoS)的正则表达式。

许多默认正则表达式解析器都很复杂,而且存在很多安全问题。当显示匹配的输入字符串时,使用正则表达式匹配的方式可能速度会很快,但是某些不匹配的输入字符串可能会使正则表达式匹配器进入疯狂的回溯循环,并且需要花费很长时间来处理。此时,将有可能导致应用程序出现拒绝服务的情况,因为CPU在尝试匹配正则表达式时会卡住。

该工具的主要目的如下:

  • 寻找易受正则表达式拒绝服务攻击(ReDoS)的正则表达式;
  • 给出一个会导致死循环回溯的恶意字符串示例;

最坏情况复杂性

最坏情况复杂性反映了正则表达式匹配器的回溯过程相对于输入字符串长度的复杂性。这个最坏情况复杂性是以立方计算的,如果字符串的易受攻击部分的长度增加了一倍,则执行时间应延长约8倍(2^3)。

工具安装

该工具需要在本地安装并配置好Python 3.8+环境。由于Regexploit会从JavaScript/TypeScript代码中提取正则表达式,因此还需要安装好NodeJS 12+。

首先,我们可以创建一个虚拟环境:

 
 
    
  
  
  1. python3 -m venv .env 
    2. 
  
  
  2.  
    3. 
  
  
  3. source .env/bin/activate 
    4.

然后使用pip来安装Regexploit:

 
 
    
  
  
  1. pip install regexploit 
    2.

工具使用

1. 正则表达式处理

我们可以通过stdin(每个正则表达式占一行)向Regexploit输入正则表达式:

 
 
    
  
  
  1. regexploit 
    2.

或者直接处理正则表达式列表文件:

 
 
    
  
  
  1. cat myregexes.txt | regexploit 
    2.

2. 自动提取正则表达式

Regexploit内置支持解析Python、JavaScript、TypeScript、C#、YAML和JSON代码中的正则表达式。

(1) Python代码

通过AST解析Python代码(无需执行)并提取正则表达式,并分析是否易受ReDoS:

 
 
    
  
  
  1. regexploit-py my-project/ 
    2. 
  
  
  2.  
    3. 
  
  
  3. regexploit-py "my-project/**/*.py" --glob 
    4.

(2) Javascript / Typescript

该功能将使用regexploit/bin/javascript中捆绑的NodeJS包实现,并解析JavaScript中的正则表达式:

 
 
    
  
  
  1. regexploit-js my-module/my-file.js another/file.js some/folder/ 
    2. 
  
  
  2.  
    3. 
  
  
  3. regexploit-js "my-project/node_modules/**/*.js" --glob 
    4.

(3) JSON/YAML

YAML支持需要安装pyyaml,我们可以使用命令“pip install regexploit[yaml]”进行安装:

 
 
    
  
  
  1. regexploit-json *.json 
    2. 
  
  
  2.  
    3. 
  
  
  3. regexploit-yaml *.yaml 
    4.

(4) C#(.NET)

 
 
    
  
  
  1. regexploit-csharp something.cs 
    2.

工具使用样例

运行Regexploit,并在命令行中输入正则表达式“v\w*_\w*_\w*$”:

 
 
    
  
  
  1. $ regexploit 
    2. 
  
  
  2.  
    3. 
  
  
  3. v\w*_\w*_\w*$ 
    4. 
  
  
  4.  
    5. 
  
  
  5. Pattern: v\w*_\w*_\w*$ 
    6. 
  
  
  6.  
    7. 
  
  
  7. --- 
    8. 
  
  
  8.  
    9. 
  
  
  9. Worst-case complexity: 3 ⭐⭐⭐ (cubic) 
    10. 
  
  
  10.  
    11. 
  
  
  11. Repeated character: [5f:_] 
    12. 
  
  
  12.  
    13. 
  
  
  13. Final character to cause backtracking: [^WORD] 
    14. 
  
  
  14.  
    15. 
  
  
  15. Example: 'v' + '_' * 3456 + '!' 
    16.

此时,Regexploit将返回评估结果。

项目地址

Regexploit:【GitHub传送门】

文章题目:如何使用Regexploit识别ReDoS正则表达式拒绝服务攻击
转载注明:http://www.shufengxianlan.com/qtweb/news11/318061.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

品牌网站设计知识

各行业网站

腾讯云香港虚拟主机    成都广告设计    无边发光字    雪茄烟品牌    微信开发    班戈纳美网站    新都四新网站建设    不锈钢防护栏    成都广告设计公司    成都宣传画册设计    成都网站建设    企业官网建设    成都网站维护    服务器租凭    注册域名    绵阳科技城电信IDC机房    成都做网站    官网SEO排名    网站制作报价    重庆建站