介紹

當(dāng)您想到拒絕服務(wù)攻擊時(shí)，您會(huì)想到什么？可能是一大群機(jī)器人試圖訪問(wèn) Web 服務(wù)器的資源以使其癱瘓。好吧，這肯定是導(dǎo)致拒絕服務(wù)攻擊的一種方式。但是，還有一種您可能沒(méi)有聽(tīng)說(shuō)過(guò)的方式。它被稱為?ReDoS，是由正則表達(dá)式引起的。

正則表達(dá)式？但這怎么可能呢？那不是通過(guò)使用過(guò)濾器來(lái)匹配字符串、將字符串列入白名單和黑名單，從而使我們的工作更輕松嗎？是的，但是攻擊者也可以利用它來(lái)使應(yīng)用程序（服務(wù)器）屈服。讓我們了解如何！

正則表達(dá)式是什么？

簡(jiǎn)而言之，正則表達(dá)式是一種用于匹配（編程語(yǔ)言中）字符串的模式。讓我們通過(guò)一個(gè)示例來(lái)理解它吧，該示例是“用正則表達(dá)式在服務(wù)器端驗(yàn)證電子郵件地址”。

上面是一段 JavaScript 代碼（譯者注：不會(huì) JS 也無(wú)妨，對(duì)閱讀本文的影響不大，請(qǐng)繼續(xù)閱讀）。我們?cè)谶@里使用的正則表達(dá)式是?[a-z0–9]+@[a-z]+\.[a-z]{2,3}。我們提供了幾個(gè)電子郵件地址，然后我們需要檢查它們是否遵循電子郵件地址的一般模式。讓我們分解一下正則表達(dá)式。

• [a-z0–9]+：表示此處的字符串可以是任何小寫字母和數(shù)字。末尾的加號(hào) (+) 表示必須至少有一個(gè)字符（無(wú)論是小寫字母還是數(shù)字）。
• @：表示此處應(yīng)該有 AT（@）符。
• [a-z]+：表示此處字符串應(yīng)該包含（一個(gè)或多個(gè)）小寫字母的字符
• \.：表示此處應(yīng)該有一個(gè)點(diǎn)（.）
• [a-z]{2,3}：表示此處字符串是由小寫字母組成的，但其長(zhǎng)度只能是 2 或 3。

讓我們將其與我們選擇的電子郵件 ID 進(jìn)行比較。讓電子郵件 ID 為?yourremail12@yahooemail.com。

• youremail12@?對(duì)應(yīng)于?[a-z0-9]+@
• yahooemail?對(duì)應(yīng)于?[a-z]+
• .com?對(duì)應(yīng)于?\.[a-z]{2,3}

這通常是正則表達(dá)式的工作方式。但這不是會(huì)按預(yù)期工作嗎？這如何能導(dǎo)致拒絕服務(wù)攻擊呢？讓我們了解一下。

正則表達(dá)式由正則表達(dá)式運(yùn)算器處理。在 ReDoS 攻擊期間，攻擊者通過(guò)提供輸入字符串強(qiáng)制正則表達(dá)式運(yùn)算器陷入循環(huán)。當(dāng)它處于循環(huán)中時(shí)，正則表達(dá)式運(yùn)算器可能會(huì)花費(fèi)大量時(shí)間，并消耗大量資源。這會(huì)導(dǎo)致其他合法客戶端無(wú)法使用資源，并可能導(dǎo)致 Web 服務(wù)器和應(yīng)用程序無(wú)響應(yīng)并最終崩潰。

另一種情況可能是設(shè)計(jì)不良的正則表達(dá)式模式，這可能導(dǎo)致輸入驗(yàn)證失敗，在正則表達(dá)式運(yùn)算器解析時(shí)會(huì)消耗大量時(shí)間等。

有害正則表達(dá)式（Evil Regex）

有害正則表達(dá)式模式是攻擊者可以利用的正則表達(dá)式。根據(jù) Wikipedia，這些是有害正則表達(dá)式模式的特征。

• 正則表達(dá)式將重復(fù)（+、*）應(yīng)用于復(fù)雜的子表達(dá)式。
• 對(duì)于重復(fù)的子表達(dá)式，存在一個(gè)匹配，同時(shí)該匹配也是另一個(gè)有效匹配的后綴。

這說(shuō)明了如果已經(jīng)有一個(gè)復(fù)雜的子表達(dá)式，并且應(yīng)用一些像?+?或?*?這樣的貪婪運(yùn)算符，可能會(huì)導(dǎo)致一個(gè)有害的正則表達(dá)式。

例如，

我們考慮以下正則表達(dá)式：^(a+)+$

^?和?$?定義了字符串必須分別以?a?開(kāi)頭和結(jié)尾。

如果我們提供?aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa，正則表達(dá)式運(yùn)算器將在幾毫秒內(nèi)處理它并返回?True。

如果我提供?aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!，你覺(jué)得會(huì)發(fā)生什么！

如果您運(yùn)行它，則對(duì)于所提供的正則表達(dá)式，（在返回?False?之前）需要花費(fèi)大約 2 秒的時(shí)間來(lái)處理。只是通過(guò)添加一個(gè)額外的感嘆號(hào)會(huì)導(dǎo)致這么長(zhǎng)的時(shí)間嗎？

讓我們從正則表達(dá)式運(yùn)算器的角度來(lái)看看它是如何工作的。正則表達(dá)式運(yùn)算器直到達(dá)到感嘆號(hào)之前將會(huì)正常工作。由于我們沒(méi)有指定查找 (!) 標(biāo)記，因此它會(huì)回溯到前面的字母，并查看是否有另一種方法來(lái)解析先前的字符，以便可以驗(yàn)證整個(gè)字符串。在它最終發(fā)現(xiàn)絕不會(huì)返回?True?之前，這樣的回溯將會(huì)一直持續(xù)下去。

如您所知，回溯會(huì)導(dǎo)致大量時(shí)間消耗。攻擊者可以使用它來(lái)利用有害正則表達(dá)式模式。

譯者注

看完上述內(nèi)容后，有些讀者可能仍對(duì)剛才的示例（回溯）表示不解。為了讓讀者能夠更加清晰地了解其原理，我將上例中正則表達(dá)式運(yùn)算器可能將執(zhí)行的步驟進(jìn)行了分解演示。

下列演示的過(guò)程只是存在的一種可能（實(shí)際情況取決于正則表達(dá)式引擎的實(shí)現(xiàn)）

鏈接：https://medium.com/codex/redos-regular-expression-denial-of-service-fefdce7ee076

（版權(quán)歸原作者所有，侵刪）