原理

需要知識:正則NFA回溯原理，php的pcre.backtrack_limit設(shè)置。

正則NFA回溯原理

正則表達式是一個可以被"有限狀態(tài)自動機"接受的語言類。

"有限狀態(tài)自動機",擁有有限數(shù)量的狀態(tài),每個狀態(tài)可以遷移到零個或多個狀態(tài),輸入字串決定執(zhí)行哪個狀態(tài)的遷移。

常見的正則引擎被分為DFA(確定性有限狀態(tài)自動機)與NFA(非確定性有限狀態(tài)自動機)他們匹配輸入的過程是:

DFA:從起始狀態(tài)開始,一個字符一個字符讀取輸入串,根據(jù)正則一步步確定至下一個轉(zhuǎn)移狀態(tài),直到匹配不上或走完整個輸入。

NFA:從起始狀態(tài)開始,一個字符一個字符讀取輸入串,并與正則表達式進行匹配,如果匹配不上,則進行其他狀態(tài)。

狀態(tài):輸入串被匹配的形式。

從上面過程可知,由于NFA存在回溯,所以性能會劣于DFA,但他支持更多功能,大多數(shù)語言都是以NFA作為正則引擎。

Demo

NFA的匹配模式:

正則:].*???????? 輸入串:<?php phpinfo();//aaaaa

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].*?? ??? ?0

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].*????????? ??? ?0

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?0

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?1

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].* ?? ?0

<?php phpinfo();//aaaaa?? ?<\?.*[(`;?>].*?? ?0

通過表格可知,一共進行了八次回溯

什么是pcre.backtrack_limit()設(shè)置

對正則NFD回溯次數(shù)進行限制,能夠預(yù)防pcre ddos，默認值為1,000,000,如果超過限制,preg_match()

將會返回false,而如果preg_match匹配成功返回為1，匹配不成功返回為0。

安全問題出現(xiàn)原因

php的正則引擎是NFA，當(dāng)preg_match()函數(shù)內(nèi)正則的回溯次數(shù)超過pcre.backtrack_limit時,將會返回false。

漏洞出現(xiàn)的語法:

function is_php($data){

return preg_match(‘/].*/is‘, $data);

}

if(!is_php($input)) {

//code

}

?>

修復(fù)方案

if( is_php($input) === 0 )

// preg_match匹配成功返回int(1)，失敗返回int(0) 而不是false

原文：https://www.cnblogs.com/cimuhuashuimu/p/11490375.html

總結(jié)

以上是生活随笔為你收集整理的php pcre回溯攻击,php preg_match pcre回溯绕过的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。