如何安全地使用用戶輸入的正則表達式？

Question

我的（基於Perl的）應用程序需要讓用戶輸入正則表達式來匹配幕後的各種字符串。我的計劃迄今已採取的字符串，並把它包在像

$regex = eval { qr/$text/ }; 
if (my $error = $@) { 
    # mangle $error to extract user-facing message 

（$text已經被剝奪了換行的時間提前，因爲它是在一個多行文本字段實際上多正則表達式，我split）。

這樣做有沒有任何潛在的安全風險 - 一些奇怪的輸入可能導致任意代碼執行？ （除了像CVE-2007-5116這樣的正則表達式引擎中的緩衝區溢出漏洞外）。如果是這樣，是否有辦法緩解它們？

有沒有更好的方法來做到這一點？任何有助於抽象將用戶輸入轉換爲正則表達式的操作的抽象Perl模塊（比如提取錯誤消息......或者提供像/i這樣的修飾符，我在這裏不需要這些修飾符，但會很好）？我搜查CPAN並沒有發現太多有希望的東西，但是我有可能錯過了一些東西。

Answer 1

使用(?{ code })構造，可以使用用戶輸入來執行任意代碼。見例如perlre#code並在那裏說

local $cnt = $cnt + 1, 

與表達

system("rm -rf /home/fennec"); print "Ha ha.\n"; 

取代它（事實上，不這樣做。）

Answer 2

最好的辦法，就是不要讓用戶有太多特權。爲用戶提供足夠的界面，讓他們做他們想做的事。 （就像一臺只有各種選項按鈕的ATM機，不需要鍵盤輸入）。當然，如果你需要用戶鍵入輸入，然後提供文本框，然後在後端，使用Perl來處理請求（例如消毒等）。讓用戶輸入正則表達式的動機是搜索字符串模式？那麼在這種情況下，最簡單最安全的方法就是告訴他們只輸入字符串。然後在後端，使用Perl的正則表達式來搜索它。是否有任何其他令人信服的理由讓用戶輸入正則表達式？

Answer 3

使用不可信的輸入作爲正則表達式創建拒絕服務漏洞，如perlsec中所述：

正則表達式 - Perl的正則表達式引擎被稱爲NFA（非確定性有限自動機），其中 意味着如果正則表達式可能以多種方式匹配，它可以非常容易地消耗大量的時間和空間。 精心設計正則表達式可以幫助，但很多時候確實沒有太多人能夠做到（「掌握常規 表達式」是必讀內容，請參閱perlfaq2）。空間不足表現爲Perl耗盡內存。

Answer 4

也許您可以使用不具有危險代碼標記支持的不同正則表達式引擎。

我還沒有嘗試過，但perl有PCRE。您也可以使用this info on creating custom regex engines限制或刪除代碼支持。

Answer 5

有關於此的一些討論在The Monastery。

TLDR：use re::engine::RE2 -strict => 1;

確保添加-strict => 1您使用的語句或重新::引擎:: RE2將回落到Perl的重。

以下是從保羅Wankadia（junyer），該project on GitHub的所有者引文：

RE2的設計和具有能夠處理來自不可信用戶的正則表達式沒有風險的明確目標實現。其主要保證之一是匹配時間在輸入字符串的長度上是線性的。還考慮到了生產問題：解析器，編譯器和執行引擎通過在可配置的預算內工作來限制其內存使用率 - 在耗盡時優雅地失敗 - 並且它們通過避免遞歸來避免堆棧溢出。

要總結要點：

• 這是一個從任意代碼執行默認情況下的安全，但增加了「不重‘EVAL’;」防止PERL5OPT或其他任何東西？從設置你。我不確定是否這樣做會阻止一切。

• 使用BSD :: Resource（即使在Linux上）的子進程（fork）來限制內存並在某些超時後終止子進程。