Reguläre Ausdrücke (Regular Expressions) sind ein wesentlicher Bestandteil der modernen Softwareentwicklung und spielen eine zentrale Rolle bei der Verarbeitung und Validierung von Textdaten. Sie ermöglichen Entwicklern, komplexe Muster und Suchkriterien effizient zu definieren und anzuwenden. Doch trotz ihrer Nützlichkeit bergen reguläre Ausdrücke auch gravierende Sicherheitsrisiken – insbesondere die Gefahr eines sogenannten Regular Expression Denial of Service, kurz ReDoS. Diese Angriffsart kann die Leistung vieler Systeme erheblich beeinträchtigen und führt zu längeren Ladezeiten bis hin zum kompletten Stillstand einer Anwendung. Die zunehmende Verbreitung von Webanwendungen und die dadurch verstärkte Nutzung von Regex erschwert das Problem zusätzlich.
ReDoS beruht auf der Tatsache, dass viele Regex-Implementierungen bei bestimmten Eingaben extrem langsam reagieren, wobei die Verarbeitungszeit exponentiell mit der Länge der Eingabe wächst. Diese Verlangsamung resultiert aus einem inhärenten Algorithmusproblem, nämlich der sogenannten "Backtracking"-Technik, die häufig eingesetzt wird, um mögliche Pfade in regulären Ausdrücken durchzugehen. Bei ungünstigen oder bewusst konstruierten Eingaben müssen diese Engines enorme Mengen potenzieller Pfade prüfen, bevor sie eine Übereinstimmung bestätigen oder verwerfen. Angreifer können diesen Mechanismus gezielt ausnutzen, indem sie „böse“ oder „Evil Regex“ genannte Muster verwenden, die zu solchen Worst-Case-Verhaltensweisen führen. Ein zentrales Problem ist, dass viele Regex-Muster sogenannte „Gruppierungen mit Wiederholungen“ enthalten, die wiederum innere Wiederholungen oder sich überschneidende Alternativen aufweisen.
Diese Struktur erzeugt besonders ineffiziente Backtracking-Situationen. Ein klassisches Beispiel sind Muster wie (a+)+ oder (a|aa)+, die bei Eingaben mit langen Aneinanderreihungen des Zeichens "a" und einem abschließenden nicht passenden Zeichen die Zahl der zu prüfenden Pfade exponentiell wachsen lassen. Moderne Rechner können zwar viele Operationen in kurzer Zeit durchführen, doch bei ausreichend langer Eingabe dauert die Überprüfung so lange, dass die Anwendung faktisch nicht mehr reagiert – ein perfekter Denial of Service. ReDoS stellt nicht nur für Serveranwendungen eine Gefahr dar, sondern auch für Clientsysteme, einschließlich Browsern und mobilen Geräten. Überall dort, wo reguläre Ausdrücke für die Datenvalidierung, Filterung oder Mustererkennung auf Eingaben angewendet werden, besteht die potenzielle Gefahr, dass ein Angreifer schädliche Eingaben sendet, um Ressourcen zu blockieren oder Prozesse zum Absturz zu bringen.
Beispielsweise kann ein Angreifer Web Application Firewalls (WAFs) aushebeln, indem er reguläre Ausdrücke mit hohen Backtracking-Kosten ausnutzt. Ebenso können Datenbanken, API-Gateways und sogar Authentifizierungssysteme attackiert werden, wenn diese Regex-basierte Validierungen enthalten. Die Gefahr wird noch größer, wenn reguläre Ausdrücke dynamisch aus Benutzereingaben generiert oder modifiziert werden. Ein bekanntes Beispiel ist die sogenannte Regex Injection, bei der Angreifer einen bösartigen regulären Ausdruck in Felder wie Benutzernamen einfügen, der dann im System zur Überprüfung von Passwörtern oder ähnlichen Daten verwendet wird. Ein solches Szenario führt dazu, dass die Anwendung auf speziell konstruierten Regex-Mustern basiert, die garantiert exponentielle Backtracking-Kosten erzeugen.
Dadurch hängt die Anwendung oder wird extrem langsam, was wiederum zu einem erfolgreichen Denial-of-Service-Angriff führt. Die Problematik von ReDoS ist besonders problematisch, da reguläre Ausdrücke in vielen Teilen moderner Software verwendet werden: Eingabevalidierung, Parser, Suchalgorithmen, Firewall-Regeln, Logging-Analysen und mehr. Gerade bei Web- und Cloud-Anwendungen, wo Eingaben von außen jederzeit möglich sind, ist die Gefahr durch ReDoS sehr real und sollte von Entwicklern und Sicherheitsexperten ernst genommen werden. Die hohe Verbreitung „böser“ Muster in öffentlichen Repositories und Open-Source-Projekten verstärkt das Bedrohungspotenzial zusätzlich. Zum Glück existieren verschiedene Strategien und Maßnahmen, um die Gefahr durch ReDoS zu mindern oder ganz zu beseitigen.
Grundsätzlich sind Entwickler dazu angehalten, Regex-Muster sorgfältig zu entwerfen und insbesondere auf wiederholte Gruppierungen und überlappende Alternationen zu verzichten. Der Einsatz von sogenannten linearen oder deterministischen Regex-Engines, die nicht auf Backtracking basieren, kann die Angriffsfläche ebenfalls stark reduzieren. In manchen Fällen ist es sinnvoll, den Einsatz regulärer Ausdrücke auf kritischen Pfaden zu minimieren oder komplett alternative Validierungsmethoden zu verwenden. Weiterhin existieren Werkzeuge zur statischen Analyse von Regex-Mustern, die automatisch erkennen, ob ein Regex anfällig für den ReDoS-Angriff ist. Solche Tools können in den Entwicklungsprozess integriert werden, um anfällige Regex-Muster frühzeitig zu identifizieren und durch sicherere Alternativen zu ersetzen.
Dabei helfen Bibliotheken und Frameworks, die explizit auf sichere Regex-Verarbeitung ausgelegt sind. Ein weiterer wichtiger Schutzmechanismus ist die Implementierung von Zeitlimits oder Ressourcenkontrollen während der Ausführung von Regex-Matches. Wird eine Verarbeitung zu lange ausgeführt, kann sie abgebrochen und der fehlerhafte oder bösartige Input zurückgewiesen werden. Dies verhindert zwar nicht den Angriff an sich, kann aber zumindest die Auswirkungen einschränken. Schließlich ist das Bewusstsein für ReDoS in der Entwickler- und Administratorengemeinschaft ein entscheidender Faktor.
Schulungen, Informationskampagnen und die Pflege von Best-Practice-Richtlinien im Umgang mit regulären Ausdrücken tragen dazu bei, dass solche Schwachstellen erst gar nicht in produktiven Systemen landen oder schnell erkannt und beseitigt werden können. ReDoS ist ein Beispiel dafür, wie vermeintlich harmlose Technologien und Werkzeuge in falschen Händen zu erheblichen Sicherheitsproblemen führen können. Reguläre Ausdrücke bleiben wichtige Bausteine für effiziente Datenverarbeitung, doch sie müssen mit Bedacht eingesetzt werden. Sicherheitsbewusste Entwicklung kombiniert mit automatisierter Analyse und Kontrolle schafft die Grundlage, um ReDoS-Angriffe wirkungsvoll abzuwehren. Nur so lässt sich auch im Zeitalter immer komplexerer Webanwendungen und zunehmender Internetbedrohungen ein stabiler und sicherer Betrieb gewährleisten.
