Запрос MongoDB $ regex и возможные эксплойты
У нас есть REST API для запроса записей в MongoDB. Очень просто, примерно следующее:
GET /api/items?q=foo
Во время разработки было удобно разрешить регулярные выражения в качестве запроса q. Мы бы просто передали параметр запроса оператору MongoDB $regex и не выполняли никаких экранирований:
db.getCollection('items').find({ name: { $regex: req.query.q, $options: 'i' } });
Таким образом, у нас есть очень гибкий и удобный способ запроса наших данных. Теперь, когда все становится «серьезным», то есть ближе к производству, я спрашиваю себя о последствиях для безопасности. Может ли кто-нибудь отправлять запросы «DoS» с дорогостоящим обратным отслеживанием?
Я, вероятно, недостаточно деструктивен, чтобы придумать такой запрос, поэтому я поискал в Интернете и наткнулся на очень интересное чтение, в котором упоминается несколько атак: Взрывная ловушка квантификатора.
Отбросив тот факт, что упомянутые запросы на приведенной выше странице ведут себя далеко не «катастрофически», как ожидалось (ни в запросах MongoDB, ни в онлайн-инструментах, таких как regex101.com), я все же хотел бы знать:
- Это реальная проблема или я преследую несуществующие угрозы?
- Следует ли нам полностью отказаться от параметров регулярного выражения?
- Есть ли в MongoDB какой-либо механизм (например, тайм-аут) для предотвращения DoS-атак с помощью вредоносных регулярных выражений? (fwiw: мы работаем в среде Node.js)
- Существуют ли библиотеки для обнаружения таких атак перед отправкой запроса?
Ответы 1
Мое довольно личное чутье говорит: не беспокойтесь. Но опять же, если вам все же или даже нужно, то вот несколько советов, как справиться с этим требованием:
- Вы можете определить максимальное время, в течение которого запрос может выполняться, для использования maxTimeMS ().
- Вы можете попытаться очистить ввод регулярного выражения, но я сомневаюсь, что существуют библиотеки, которые помогут вам в этом, учитывая бесконечные варианты потенциально длительных сложных запросов. Ограничение длины регулярного выражения тоже может помочь, но с другой стороны, вероятно, лишает пользователя возможности удобного поиска с использованием произвольных фильтров.
- Вы можете предоставить более структурированный ввод запроса, например позволять пользователю вводить только один буквенно-цифровой текст, который вы затем должны заключить в регулярное выражение на стороне сервера, например, запросы "начинается с", "содержит" или "заканчивается на" или что-то в этом роде.
- Вы можете разрешить только один параллельный запрос для каждого пользователя (сеанс? Ip?), Который, вероятно, немного поможет против фатальных DoS-атак, но, конечно, не против распределенных ... Или вы даже можете разрешить только один параллельный вызов этой конечной точки через вся система.
Какие-нибудь библиотеки? Я не уверен, но понимание того, что такое ReDoS-атака, поможет создать свои собственные условия. Более того, запрет кластеров, таких как захватывающие или не захватывающие группы, снизит этот риск. Вам также могут не понадобиться регулярные выражения, но некоторые шаблоны, такие как некоторые расширения, например,
*или?.