Expresiones regulares y errores

0123 · #1 (**permalink**) 05/07/2013, 00:24

Buenas compañeros,

Estoy haciendo una web para construir expresiones regulares. Algo bastante sencillo.

El caso es que quiero hacer que los usuarios puedan testear las expresiones. No tengo ningun problema en ejecutarlas en PHP. Mi duda es si puede existir un problema de seguridad otorgando al usuario poder ejecutar una expresión, lo haria de este modo:

Código PHP:

Ver originalif (preg_match($_POST['expresion_del_usuario'], $string))
{
    echo "La expresión funciona!";
}

Mi miedo es que me metan codigo o me la lien. ¿Que pensais?. Debe hacerlo obligatoriamente con PHP.

repara2 · #2 (**permalink**) 05/07/2013, 00:48

Mira cómo lo hacen ellos:
http://www.solmetra.com/scripts/regex/
http://www.regexe.com/

y todos estos: https://www.google.de/search?q=perl+...w=1366&bih=608

0123 · #3 (**permalink**) 05/07/2013, 01:00

Sí conozco varios de esos. Pero no me solucionas el problema, :) . Mi problema no esta en como validar las expresiones. Mi problema esta en el terror que me da permitir a los usuarios poder incorporar la expresión y si existe riesgo en ello.

¿Me explico?. Realmente los ejemplos que pones son basicamente lo que quiero hacer. Pero evidentemente no puedo ver como lo hacen, o si lo hacen bien y es estable.

Tengo casi todo montado, y lo queria sacar esta semana... pero me estaba entrando mal rollo.

repara2 · #4 (**permalink**) 05/07/2013, 06:28

http://stackoverflow.com/questions/4...ode-into-regex

0123 · #5 (**permalink**) 05/07/2013, 07:04

Uf, acabo de terminar de leer. Se me han quitado las ganas. Uf!... que liada. Lo veo tan inseguro.

Es que lo tengo alojado en un servidor con mucho contenido.

Una pena!,

:P

Italico76 · #6 (**permalink**) 05/07/2013, 12:35

Pues lo que dice el articulo...y tiene sentido es que a lo maximo que te pueden hacer es injectar una expresion recursiva irresoluble que consuma toda la memoria o el tiempo de ejecucion.

En este caso tu podrias prevenir que esto pase mas de 1 vez asi: te guardas en DB cual fue la expresion que vas a probar y en caso de Error Fatal mediante register_shutdown_function() registras en un archivito log si esa expresion hizo explotar el script. Para prevenir mas problemas y que se convierta en un DoS, tocaria controlar cuantos hilos pueden acceder a esa funcionalidad de probar expresiones regulares.

Ya si tu haces un eval() pues la cosa es mas complicada.

0123 · #7 (**permalink**) 06/07/2013, 02:46

Buenas de nuevo,

Hoy me he levantado con fuerzas. Me he puesto hacer el código, pero la verdad es que no se por donde empezar.

¿Como debo incluir el register_shutdown_function en este codigo?

Código PHP:

Ver originalecho "Validamos la expresión:";
 function supererror(){
       echo 'La expresión es maliciosa';
  }
 
register_shutdown_function('supererror');
 
 
if (preg_match($_POST['expresion_del_usuario'], $string))
{
    echo "La expresión funciona!";
}

:P, ya siento ser tan patoso.

pd: sin vuestra ayuda, realmente no podria hacerlo... gracias!

Italico76 · #8 (**permalink**) 06/07/2013, 10:52

Amigo mas bien, seria algo asi:

Código PHP:

  <?php
define("LOG_FILE", "warning_regx.log");

function shutdown()
{
   // Podria ser que la ultima expresion probada, fuera maliciosa asi que me la guardo en un archivo log

    global $__datetime_before_execute_regex;  
    global $__user_regex_ok;

    if  (!isset($__user_regex_ok) or (!$__user_regex_ok)){
      $now = date("d-m-Y H:i:s"); 

      file_put_contents(LOG_FILE, "{$_POST['expresion_del_usuario']};$__datetime_before_execute_regex;$now;\n", FILE_APPEND | LOCK_EX);
    }
}

register_shutdown_function('shutdown');


$__datetime_before_execute_regex = date("d-m-Y H:i:s");  // Justo antes de evalular
$__user_regex_ok = preg_match($_POST['expresion_del_usuario'];

if ($ok, $string))
{
    echo "La expresión funciona!";
}

En el archivo log yo me guardaria tambien el ID del usuario, la IP, la fecha y hora del posible ataque y todo lo que tengas disponible.

Aclaro que si la expresion al evaluarse da FALSE, se va a guardar en el archivo LOG pero luego se descartaria como falso positivo por ejemplo por el momento en que se ejecuto vs momento en que se detuvo el script

0123 · #9 (**permalink**) 07/07/2013, 02:49

Hola Italico76,

Antes de nada... gracias!.

He estado probando tu código y tengo una duda.

Segun tu, la linea:

Código PHP:

Ver original$__user_regex_ok = preg_match($_POST['expresion_del_usuario']);

Devuelve true si la expression no es maliciosa?.

Y otra... ¿sabes de alguna expresion maliciosa para testear el codigo?.

Es que he estado probando alguna expression que se que es correcta y me devuelve false.

Voy a investigar... muchas gracias por tu ayuda!

Italico76 · #10 (**permalink**) 07/07/2013, 07:47

@0123: hola... es que me comí un parametro, el segundo:

Cita:

$__user_regex_ok = preg_match($_POST['expresion_del_usuario'], $string);

Ten en cuenta:

- Nada de este codigo fue probado....o sea... es un bosquejo puede tener errores que debas depurar.

- En lugar de usar variables globales podrias pasarlas por referencia a register_shutdown_function() o sea con un & delante

0123 · #11 (**permalink**) 07/07/2013, 08:24

Buenas Italico76,

Ok... jeje... muchas gracias!

Un placer!

0123 · #12 (**permalink**) 08/07/2013, 07:40

Hola de nuevo a todos,

¿Alguien tiene una expresion regular maliciosa?... es que no se como testear mi codigo sin una. He consultado Google, pero no encuentro nada... jeje.

:D