[[421847]]

關(guān)于Regexploit

Regexploit可以幫助廣大研究人員找出易受正則表達(dá)式拒絕服務(wù)攻擊(ReDoS)的正則表達(dá)式。

許多默認(rèn)正則表達(dá)式解析器都很復(fù)雜，而且存在很多安全問題。當(dāng)顯示匹配的輸入字符串時(shí)，使用正則表達(dá)式匹配的方式可能速度會(huì)很快，但是某些不匹配的輸入字符串可能會(huì)使正則表達(dá)式匹配器進(jìn)入瘋狂的回溯循環(huán)，并且需要花費(fèi)很長時(shí)間來處理。此時(shí)，將有可能導(dǎo)致應(yīng)用程序出現(xiàn)拒絕服務(wù)的情況，因?yàn)镃PU在嘗試匹配正則表達(dá)式時(shí)會(huì)卡住。

該工具的主要目的如下：

• 尋找易受正則表達(dá)式拒絕服務(wù)攻擊(ReDoS)的正則表達(dá)式;
• 給出一個(gè)會(huì)導(dǎo)致死循環(huán)回溯的惡意字符串示例;

最壞情況復(fù)雜性

最壞情況復(fù)雜性反映了正則表達(dá)式匹配器的回溯過程相對于輸入字符串長度的復(fù)雜性。這個(gè)最壞情況復(fù)雜性是以立方計(jì)算的，如果字符串的易受攻擊部分的長度增加了一倍，則執(zhí)行時(shí)間應(yīng)延長約8倍(2^3)。

工具安裝

該工具需要在本地安裝并配置好Python 3.8+環(huán)境。由于Regexploit會(huì)從JavaScript/TypeScript代碼中提取正則表達(dá)式，因此還需要安裝好NodeJS 12+。

首先，我們可以創(chuàng)建一個(gè)虛擬環(huán)境：

python3 -m venv .env 
 
source .env/bin/activate 

然后使用pip來安裝Regexploit：

pip install regexploit 

工具使用

1. 正則表達(dá)式處理

我們可以通過stdin(每個(gè)正則表達(dá)式占一行)向Regexploit輸入正則表達(dá)式：

regexploit 

或者直接處理正則表達(dá)式列表文件：

cat myregexes.txt | regexploit 

2. 自動(dòng)提取正則表達(dá)式

Regexploit內(nèi)置支持解析Python、JavaScript、TypeScript、C#、YAML和JSON代碼中的正則表達(dá)式。

(1) Python代碼

通過AST解析Python代碼(無需執(zhí)行)并提取正則表達(dá)式，并分析是否易受ReDoS：

regexploit-py my-project/ 
 
regexploit-py "my-project/**/*.py" --glob 

(2) Javascript / Typescript

該功能將使用regexploit/bin/javascript中捆綁的NodeJS包實(shí)現(xiàn)，并解析JavaScript中的正則表達(dá)式：

regexploit-js my-module/my-file.js another/file.js some/folder/ 
 
regexploit-js "my-project/node_modules/**/*.js" --glob 

(3) JSON/YAML

YAML支持需要安裝pyyaml，我們可以使用命令“pip install regexploit[yaml]”進(jìn)行安裝：

regexploit-json *.json 
 
regexploit-yaml *.yaml 

(4) C#(.NET)

regexploit-csharp something.cs 

工具使用樣例

運(yùn)行Regexploit，并在命令行中輸入正則表達(dá)式“v\w*_\w*_\w*$”：

$ regexploit 
 
v\w*_\w*_\w*$ 
 
Pattern: v\w*_\w*_\w*$ 
 
--- 
 
Worst-case complexity: 3 ⭐⭐⭐ (cubic) 
 
Repeated character: [5f:_] 
 
Final character to cause backtracking: [^WORD] 
 
Example: 'v' + '_' * 3456 + '!' 

此時(shí)，Regexploit將返回評估結(jié)果。

項(xiàng)目地址

Regexploit：【GitHub傳送門】