正则表达式注入¶
ID: cs/regex-injection
Kind: path-problem
Security severity: 7.5
Severity: error
Precision: high
Tags:
- security
- external/cwe/cwe-730
- external/cwe/cwe-400
Query suites:
- csharp-code-scanning.qls
- csharp-security-extended.qls
- csharp-security-and-quality.qls
使用未经净化的用户输入构造正则表达式非常危险,因为恶意用户可能能够修改表达式的含义。特别是,此类用户可能能够提供在最坏情况下需要指数时间的正则表达式片段,并利用它来执行拒绝服务攻击。
建议¶
对于要作为字符串字面量在正则表达式中引用的用户输入,请使用 Regex.Escape 方法来转义任何特殊字符。如果该正则表达式旨在由用户配置,则应使用超时来避免拒绝服务攻击。对于 C# 应用程序,可以向 Regex 构造函数提供超时。或者,通过使用 AppDomain.SetData 方法设置 REGEX_DEFAULT_MATCH_TIMEOUT 应用程序域属性来应用全局超时。
示例¶
以下示例显示了一个用作正则表达式的 HTTP 请求参数,并与另一个请求参数进行匹配。
在第一种情况下,使用正则表达式时没有超时,并且用户提供的正则表达式未经转义。如果恶意用户提供了一个在最坏情况下性能呈指数级增长的正则表达式,则可能导致拒绝服务。
在第二种情况下,在将用户输入包含在正则表达式之前,使用 Regex.Escape 对其进行转义。这确保了用户无法插入在正则表达式中具有特殊含义的字符。
using System;
using System.Web;
using System.Text.RegularExpressions;
public class RegexInjectionHandler : IHttpHandler
{
public void ProcessRequest(HttpContext ctx)
{
string name = ctx.Request.QueryString["name"];
string userInput = ctx.Request.QueryString["userInput"];
// BAD: Unsanitized user input is used to construct a regular expression
new Regex("^" + name + "=.*$").Match(userInput);
// GOOD: User input is sanitized before constructing the regex
string safeName = Regex.Escape(name);
new Regex("^" + safeName + "=.*$").Match(userInput);
}
}
参考¶
OWASP:正则表达式拒绝服务 - ReDoS。
维基百科:ReDoS。
常见弱点枚举:CWE-730。
常见弱点枚举:CWE-400。