Web应用中的ReDoS检测方法研究.pdfVIP

第3l卷第5期 杭州电子科技大学学报 V01．31．No．5 2011年lO月 J叫m丑lof H蚰咖肼舯dUnivmily Od．20ll Web应用中的ReDoS检测方法研究 梁兴开，赵泽茂，黄 亮 (杭州电子科技大学通信工程学院，浙江杭州310018) 摘要：该文分析了一种Web应用中新型的拒绝服务攻击一正则表达式拒绝服务攻击。在深入分析 形成的原因和机理的基础上，该文提出了一个防范此攻击的检测模型。该模型从静态分析人手， 检测网页源代码中可能存在的有漏洞的正则表达式，从渗透测试的角度对提取到的正则表达式进 行动态测试，给出相应的漏洞防范措施，从而确保Web应用系统的可用性。 关键词：应用安全；正则表达式；拒绝服务攻击；渗透测试 中图分类号：TP393 文献标识码：A 文章编号：1001—9146(2011105—0075—04 O 引 言 正则表达式大量应用于Web应用中，其在表单数据校验、替换和文本处理中发挥灵活而又强大的 功能…。而拒绝服务攻击通过向目标发送大量的攻击数据包来消耗目标的资源，这类攻击通常被称为 数据包洪泛攻击。由于不合理的正则表达式语句大量部署于Web应用中，这将可能引入一种新型的拒 of 绝服务攻击一正则表达式拒绝服务攻击(RegularExpressionDenyService，ReDoS)口1。由于采用不严 谨的正则表达式而对其可能造成的危害了解甚少，开发者无法对Web应用中构建的正则表达式语句进 行安全验证，不轻易间就可能导致系统受到拒绝服务攻击。因此，研究一种能够有效检测和抵御ReDoS 攻击的检测模型是迫切的现实需要，本文提出了一种基于静态代码分析与渗透测试技术的防御ReDoS 模型。 1 相关背景 正则表达式描述一种字符串匹配模式，一般其运用于两种情况：一种是在文本或字符串中查找特定 的子串(搜索、匹配)；另一种是查找符合特定条件的子串并编辑子串(替换、校验)。 1．1正则表达式设计 正则表达式的语法由基本的元字符、数量和位置元字符、特殊元字符以及一些条件模式字符构成。 具体的语法要点可参考文献1。Web应用中一般需要校验电子邮件的合法性。可以构建如下的正则表 子表：返式模式。 1．2 ReDoS攻击原理 Finite Automaton，NFA)的 正则表达式匹配技术主要有基于非确定性有限状态机(Nondeterministic 收稿日期：2011—0r7—20 基金项目：上海市信息安全综合管理技术研究重点实验室开放课题资助项目(AGK2009008) 作者简介：梁兴开(19￡6一)，男，壮族，广西南宁人，在读研究生，信息安全． 76 杭州电子科技大学学报 2011年 Finite 技术、基于确定性有限状态机(Deterministic 合技术【4q】。许多web开发环境都是基于NFA实现正则表达式的。基于NFA引擎是回溯引擎，可以 处理更复杂的正则表达式，比如前后向引用和捕获括号的正则表达式等。与对输入字符串中的每个字 符最多计算一次的DFA不同，NFA跳转到新的状态并对输入字符串中的字符计算多次，直到所有的输 人符号都消费完。它检验每一个可能的路径直到它到达可接受的状态(成功匹配)或者检验完所有的 路径(匹配失败)。这意味着必须对所有路径进行测试。回溯的一个负面影响是，虽然正则表达式可以 快速地确定正向匹配(输入字符串与给定正则表达式匹配)，但确定反向匹配(输入字符串与正则表达 式不匹配)所需的时间更长。这将导致正则表达式引擎的执行计算量呈现指数增加。攻击者只需提供 简单的构造好的语句就可强制NFA引擎对所有可能的大量的路径进行匹配尝试直到不成功匹配，即可 造成Re