ملاحظات أمنية: التعبيرات النمطية
هل يمكن أن تكون RegEx عرضة للثغرات؟
Photo by Markus Spiske on Unsplash
رفض الخدمة عبر التعبيرات المنتظمة: ReDOS
إحدى الثغرات الأكثر إثارة للدهشة، والتي يصعب اكتشافها، التي وجدتها تتعلق بالتعبيرات المنتظمة. إما بسبب كتابتها بشكل سيئ أو تنفيذها بشكل سيئ.
يمكن استنزاف الذاكرة/وحدة المعالجة المركزية (CPU) بإدخال مستخدم كبير أو مصمم خصيصًا.
هذه ثغرة رفض خدمة، وليست مجرد مشكلة أداء. إذا كان الإدخال الخبيث يمكنه تثبيت CPU لفترة كافية لتجويع المستخدمين الحقيقيين، فهي تنتمي إلى نموذج التهديدات الأمنية الخاص بك.
علامات التحذير
- مُكرِّرات متداخلة، مجموعات مكررة، أو تناوب متداخل
- محركات تعتمد بكثافة على التراجع بدون حد زمني أو حد لطول الإدخال
- استخدام التعبير مع إدخال مستخدم غير مدقق
- تشغيل التحقق من التعبير المنتظم على مسار طلب ساخن
التخفيف / الحل
- التعبيرات المنتظمة صعبة.
- على سبيل المثال، إليك كيف يوصي الأشخاص الأذكياء حقًا في [OWASP][owasp] بالتعامل مع التحقق من عنوان IP:
^(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$ - هذا أطول من تغريدة (قديمة الطراز)، لعنوان IP بحجم 4 بايت!!!
- على سبيل المثال، إليك كيف يوصي الأشخاص الأذكياء حقًا في [OWASP][owasp] بالتعامل مع التحقق من عنوان IP:
- حدد طول الإدخال قبل تقييم التعبير المنتظم.
- أضف حدودًا زمنية، تحليلًا ثابتًا، أو محركًا بدون تراجع حيثما يدعم النظام الأساسي ذلك.
- هذا يؤثر على كل لغة ومنصة تقريبًا: .NET/Node/Python/PERL/Java.