Java ReDos 是否易受攻击？

Question

我尝试使用 jshell 重新创建 regular expression denial of service attack 使用 (a+)+ 正则表达式和 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!（带有大量 a）输入：

Pattern.compile("(a+)+")
    .matcher("aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!")
    .matches()

但是每次我尝试时都会很快完成。 Java中的正则表达式实现与其他实现不同吗？或者链接的维基百科页面有误？

（顺便说一句。我使用的是 Java 11，如果相关的话）

编辑：看起来它与 Java 版本相关，当我在 Java 8 上尝试它时，它挂起，但在 Java 9 和 11 中它可以立即工作。这些版本之间有什么变化可能会影响到这一点？现在所有的正则表达式在 Java 中都是安全的吗？

是否有特定的 Java JEP 改变了正则表达式的实现？我想知道哪种正则表达式对于较新的 Java 来说仍然是个问题。

Answer 1

根据RSPEC-2631的文章，Java 9 及更高版本已经处理了 ReDoS 问题：

像 OpenJDK 9+ 这样的 Java 运行时通过在正则表达式求值的实现中提供额外的保护来缓解这个问题。在这些运行时，上面的示例不会受到攻击。

Answer 2

我目前正在运行 Java 8，但以下代码挂起：

Pattern.compile("(a|aa)+")
       .matcher("aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaab")
       .matches()

看到您如何使用 Java 11（并且还使用 Java 9/10 对其进行了测试）并看到它需要很短的时间才能完成，显然这些版本之间发生了变化。

通过查看 Java 11 中 Matcher 的源代码，我们发现 Java 8 中不存在以下添加：

/**
 * Storage used by top greedy Loop node to store a specific hash set to
 * keep the beginning index of the failed repetition match. The nodes
 * themselves are stateless, so they rely on this field to hold state
 * during a match.
 */
IntHashSet[] localsPos;

这种本地存储以及添加的大量其他代码似乎是 Java 9+ 中的正则表达式状态机完成速度比 Java 8 及更低版本快得多的主要原因之一。