正则表达式注入¶
ID: java/regex-injection
Kind: path-problem
Security severity: 7.5
Severity: error
Precision: high
Tags:
- security
- external/cwe/cwe-730
- external/cwe/cwe-400
Query suites:
- java-code-scanning.qls
- java-security-extended.qls
- java-security-and-quality.qls
使用未经清理的用户输入构建正则表达式很危险,因为恶意用户可以修改表达式的含义。特别是,这样的用户可以提供一个在最坏情况下需要指数时间才能完成的正则表达式片段,并利用它执行拒绝服务攻击。
建议¶
在将用户输入嵌入正则表达式之前,请使用诸如 Pattern.quote 之类的清理函数来转义在正则表达式中具有特殊含义的元字符。
示例¶
以下示例显示了用于构建正则表达式的 HTTP 请求参数。
在第一种情况下,未转义用户提供的正则表达式。如果恶意用户提供了一个最坏情况下性能为指数级的正则表达式,则这可能导致拒绝服务攻击。
在第二种情况下,在将用户输入包含在正则表达式之前,使用 Pattern.quote 对其进行转义。这确保了用户无法插入在正则表达式中具有特殊含义的字符。
import java.util.regex.Pattern;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
public class RegexInjectionDemo extends HttpServlet {
public boolean badExample(javax.servlet.http.HttpServletRequest request) {
String regex = request.getParameter("regex");
String input = request.getParameter("input");
// BAD: Unsanitized user input is used to construct a regular expression
return input.matches(regex);
}
public boolean goodExample(javax.servlet.http.HttpServletRequest request) {
String regex = request.getParameter("regex");
String input = request.getParameter("input");
// GOOD: User input is sanitized before constructing the regex
return input.matches(Pattern.quote(regex));
}
}
参考资料¶
OWASP:正则表达式拒绝服务 - ReDoS.
维基百科:ReDoS.
Java API 规范:Pattern.quote.
常见弱点枚举:CWE-730.
常见弱点枚举:CWE-400.