정규 표현식 서비스 거부 공격

Regular Expression Denial of Service (ReDoS)

설명

정규 표현식 서비스 거부 공격(Regular Expression Denial of Service, ReDoS)은 악의적으로 구성된 입력을 통해 정규 표현식을 무한 루프에 빠지게 하여 서버 자원을 소진시키는 공격입니다. 이는 서버가 입력을 처리하느라 과도한 시간을 소비하게 하여 서비스 거부 상태를 유발할 수 있습니다.

잠재적 영향

서비스 거부: 서버 자원이 소진되어 정상적인 요청을 처리할 수 없게 됩니다.
성능 저하: 서버 성능이 급격히 저하되어 사용자 경험이 나빠집니다.
리소스 고갈: 서버 메모리 및 CPU 사용률이 높아져 다른 중요한 작업이 중단될 수 있습니다.

해결 방법

정규 표현식 검토: 정규 표현식을 간단하고 효율적으로 설계합니다.
타임아웃 설정: 정규 표현식 매칭에 시간 제한을 설정하여 무한 루프를 방지합니다.
입력값 검증: 정규 표현식 매칭 전에 입력값을 검증하여 악의적인 패턴을 차단합니다.

취약한 코드 및 안전한 코드 예시

Unsafe Regular Expression code & Safe Regular Expression code

# Unsafe Regular Expression code
import re

pattern = re.compile(r'(a+)+$')
test_string = 'a' * 10000 + '!'
if pattern.match(test_string):
    print("Match found")
else:
    print("No match")

# Safe Regular Expression code
import re
import regex

# 안전한 정규 표현식 사용
pattern = regex.compile(r'(a+)+$', timeout=1)
test_string = 'a' * 10000 + '!'
try:
    if pattern.match(test_string):
        print("Match found")
    else:
        print("No match")
except regex.TimeoutError:
    print("Regex match timed out")

설명:

취약한 코드: 정규 표현식이 악의적으로 구성된 입력에 대해 무한 루프에 빠져 서비스 거부 상태를 유발할 수 있습니다.
안전한 코드: regex 모듈의 타임아웃 옵션을 사용하여 정규 표현식 매칭 시간을 제한합니다.

참조

OWASP: Regular expression Denial of Service - ReDoS
CWE: CWE-1333: Inefficient Regular Expression Complexity

Previous경로 조작 (Path Traversal)Next암호화 알고리즘 안전한 모드와 패딩 스키마

Last updated 1 year ago