ReDoS(正则表达式拒绝服务)攻击的防护手段主要围绕减少正则表达式回溯风险、限制资源消耗以及加强输入验证等方面展开。以下是具体的防护措施,结合知识库中的信息整理如下:
1. 优化正则表达式设计
- 避免复杂和冗余的模式:
- 简化表达式:减少嵌套、重复(如
+、*)和分组(如()),避免使用可能导致指数级回溯的模式(例如^(a+)+$)。 - 消除贪婪匹配:将贪婪量词(如
.*)替换为非贪婪量词(如.*?)或精确匹配,减少不必要的回溯。 - 拆分复杂表达式:将复杂正则拆分为多个简单步骤,避免单个表达式处理过多逻辑。
- 使用原子分组或 possessive 量词:
- 在支持的引擎中,使用原子分组(如
(?>pattern))或 possessive 量词(如++、*+),强制匹配成功后不再回溯,减少回溯次数。
2. 输入验证与过滤
- 限制输入长度:
- 对需要正则匹配的输入设置最大长度限制(如字符串不超过 1000 字符),防止攻击者构造超长恶意输入。
- 白名单机制:
- 仅允许符合特定格式的输入通过(如仅接受字母和数字),拒绝包含特殊字符或不符合预期的输入。
- 预验证输入:
- 在调用正则表达式之前,先通过基本条件判断过滤非法输入(例如检查字符串是否包含特定前缀或后缀)。
3. 设置超时与资源限制
- 匹配超时机制:
- 为正则表达式匹配操作设置时间限制(如超过 100ms 自动终止),防止单次匹配无限期占用 CPU。
- 例如在 Node.js 中可通过
setTimeout或专用库(如re2)实现超时控制。 - 资源监控与熔断:
- 监控正则匹配的 CPU/内存使用情况,当资源占用异常时触发熔断机制,暂时屏蔽相关请求或服务。
4. 使用安全的正则表达式库
- 选择支持 ReDoS 防护的库:
- 例如:
- re2(Google 开发):基于 DFA(确定有限状态自动机)引擎,时间复杂度为线性,天然抵御 ReDoS。
- Oniguruma:优化了回溯逻辑,减少复杂模式的性能开销。
- 避免使用纯 NFA(非确定有限状态自动机)引擎的库(如 JavaScript 原生正则),或通过配置限制其行为。
5. 静态分析与代码审计
- 使用 ReDoS 检测工具:
- RegEx DoS Scanner(如知识库[2]所述):扫描代码中的潜在危险正则表达式,例如:
javascript const redos = require('redos'); redos("aaaaa".match(/a+b?c*/)); // 检测是否可能导致回溯爆炸 - 将扫描工具集成到 CI/CD 流水线,确保新代码不会引入 ReDoS 风险。
- 代码审查:
- 定期检查正则表达式,替换或优化存在风险的模式。
6. 替换正则表达式为其他方法
- 用非正则方式处理简单逻辑:
- 对于简单匹配(如字符串开头/结尾、长度检查),改用字符串原生方法(如
string.startsWith()、string.length)。 - 分阶段处理复杂逻辑:
- 将复杂逻辑拆分为多个步骤,先用简单正则过滤,再用其他方法处理细节。
7. 示例防护实践
- 案例 1:优化危险正则表达式:
- 危险模式:
^(a+)+$(匹配全由a组成的字符串) - 优化后:
^[a]+$(直接匹配每个字符为a,时间复杂度 O(n))。 - 案例 2:设置超时:
// 使用 re2 库(Java 示例)
com.google.re2j.Pattern pattern = new com.google.re2j.Pattern("your_regex");
Matcher matcher = pattern.matcher(INPut);
if (matcher.matches()) {
// 处理匹配结果
}总结
ReDoS 攻击的防护需从代码设计、输入控制、资源限制三方面入手,结合工具检测和安全库的使用,能够有效降低风险。关键原则是简化正则表达式、限制输入范围、及时中断异常操作,从而避免攻击者利用正则引擎的回溯机制耗尽服务器资源。
