SAST-短小精悍的Benchmark

最新推荐文章于 2024-07-24 17:27:32 发布
最新推荐文章于 2024-07-24 17:27:32 发布
阅读量776 收藏 10
点赞数 19
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BASK2311/article/details/137523464
版权

引言

相信大家对DevSecOps这个概念已经不陌生了,其是一种软件开发理念,强调在DevOps的过程中融入安全性,即将安全实践融入到开发、测试和部署的全生命周期中。DevSecOps的目标是在快速迭代的软件交付过程中,通过自动化工具和持续监控的方式,确保安全措施的有效实施,从而降低安全风险,实现安全左移,提高软件质量和可靠性。

静态代码分析工具自然就成为了开发流程中不可或缺的一部分。熟悉SAST工具的朋友们可能都知道,其最头疼的问题就是漏报/误报问题,SAST工具扫描出来的结果还需要具备安全+开发能力的人员去审计。因为在用户看来,可能很多问题都是误报,这样就增加了SAST工具的使用成本。若SAST工具的分析能力足够强大,将会很大程度上降低其维护成本。

影响SAST工具核心分析能力的是敏感性分析,包括流敏感路径敏感域敏感上下文敏感等。接下来,我们结合具体的代码示例来看这几个敏感性概念。

一、流敏感

流敏感(Flow Sensitive):对语句的执行顺序敏感

也就是说,引擎是可以感知语句的执行顺序的,若执行顺序改变影响到了最终的分析结果,引擎也是可以感知的。

  • 示例
 

Java
 

复制代码
 

// 方法一 @Override protected void doGet(HttpServletRequest req, HttpServletResponse res) { String username; username = "SASTing"; // 赋值在username被污染前执行 // 用户请求中的数据认为是有风险的,所以被认为是污染源 username = req.getParameter("name"); // tainted source // 污染源被拼接到sql语句中 String sql = "select * from users where username = " + username; // add username to sql // 模拟sql语句执行,被污染的sql被执行了,所以是被认为是爆发点 executeSql(sql); // sink } // 方法二 @Override protected void doGet(HttpServletRequest req, HttpServletResponse res) { String username; username = req.getParameter("name"); username = "SASTing"; // 赋值在username被污染后执行 String sql = "select * from users where username = " + username; executeSql(sql); } 
 

对比以上两个方法,显然方法一是有SQL注入风险的,方法二是没有SQL注入风险的,因为在方法二中,usernamesql拼接前被重新赋值为"SASTing"
 

若SAST工具支持流敏感分析,那么其是可以感知语句间的执行顺序的,也就是说,可以感知username被污染和被重新赋值的执行顺序,所以在方法二中不会产生误报;相反,不支持流敏感分析的就会有误报产生。
 

 
 
流不敏感的分析可能会这么处理:
 
 
针对变量username,只要方法内有一条语句对其进行了污染(即使在污染后对username做了重新赋值),那么在当前方法内,username就被认为是污点数据, 从而造成误报。
 

 

二、路径敏感
 

路径敏感(Path Sensitive):对控制流分支敏感
 

 

Java
 

复制代码
 

// 方法一 @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // bad String input; int x = 3; // path-sensitive if (x > 0) { input = req.getParameter("input1"); // source } else { input = "safe input"; } resp.getWriter().write(input); // sink } // 方法二 @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // good String input; int x = 3; // path-sensitive if (x < 0) { input = req.getParameter("input1"); } else { input = "safe input"; } resp.getWriter().write(input); } 
 

上述两个方法,数据流是这样的:
 

  • source:从用户请求中获取参数"input1"(tainted data)
  • sink:tainted data 传递给resp.getWriter().write()方法,被直接返回给前端页面
  • 因此会有反射型XSS风险
 

但是,很明显方法二是没有风险的,因为方法二中的if条件永远为false,所以input永远为"safe input"字符串,所以不存在风险。
 

若分析引擎可以识别方法二中的分支条件,不会造成误报,那么大概率可以判断是路径敏感(path-sensitive)的。
 

 
 
路径不敏感的分析可能会这么处理:
 
 
if 块和 else 块内的数据都流向数据读取处,然后对数据做类似这样的merge处理:merge(unsafeData, safeData) = unsafeData,从而造成误报。
 

 

路径敏感一般的实现方式有:常量传播抽象解释符号执行、**SSA(静态单赋值)**等。
 

三、域敏感
 

域敏感(Field Sensitive):对类字段/容器域敏感
 

1.类字段敏感
 

在使用JDBC+mysql时可能会有如下代码场景:
 

 

Java
 

复制代码
 

static final String JDBC_URL = "jdbc:mysql://localhost:3306/mydatabase"; static final String USERNAME = "username"; static final String PASSWORD = "password"; @Data private static class User { private String name; private String gender; } // 方法一 private void test_bad(HttpServletRequest req) throws SQLException, ClassNotFoundException { Connection connection = null; // 1. 加载驱动程序 Class.forName("com.mysql.cj.jdbc.Driver"); // 2. 建立数据库连接 connection = DriverManager.getConnection(JDBC_URL, USERNAME, PASSWORD); // 3. 创建Statement对象 Statement statement = connection.createStatement(); String username = req.getParameter("name"); // tainted source User user = new User(); user.setName(username); // 4. 执行查询 String query = "SELECT * FROM my_table where name = " + user.getName(); // field-sensitive -> user.getName() tainted ResultSet resultSet = statement.executeQuery(query); // sink // 6. 关闭资源 connection.close(); } // 方法二 private void test_good(HttpServletRequest req) throws ClassNotFoundException, SQLException { Connection connection = null; // 1. 加载驱动程序 Class.forName("com.mysql.cj.jdbc.Driver"); // 2. 建立数据库连接 connection = DriverManager.getConnection(JDBC_URL, USERNAME, PASSWORD); // 3. 创建Statement对象 Statement statement = connection.createStatement(); String username = req.getParameter("name"); // tainted source User user = new User(); user.setName(username); // 4. 执行查询 String query = "SELECT * FROM my_table where name = " + user.getGender(); // field-sensitive -> user.getGender() not tainted ResultSet resultSet = statement.executeQuery(query); // not sink // 6. 关闭资源 connection.close(); } 
 

可以看到,以上方法一和方法二的主要区别在于:
 

方法一user对象的name字段被污染,然后将user.getName()拼接到sql语句
 

方法二user对象的name字段被污染,然后将user.getGender()拼接到sql语句
 

显然,方法二是没有sql注入风险的
 

若分析引擎可以很好地识别被污染对象的具体字段,方法二的情况不会发生误报,那么其大概率是域敏感的。
 

 
 
非域敏感的分析可能会这么处理:
 
 
一个对象的某一个字段被污染了,就把该对象整体当作是一个被污染的对象,后续获取该对象的所有字段都认为是被污染的数据,从而造成误报。
 

 

2.容器域敏感
 

  • 代码片段一
 

 

Java
 

复制代码
 

List<String> usernames = new LinkedList<>(); String username = req.getParameter("name"); // tainted source usernames.add("zhangsan"); usernames.add(username); // passthrough String query = "SELECT * FROM my_table where name = " + usernames.get(1); // usernames.get(1) is tainted ResultSet resultSet = statement.executeQuery(query); // sink 
 

  • 代码片段二
 

 

Java
 

复制代码
 

List<String> usernames = new LinkedList<>(); String username = req.getParameter("name"); // tainted source usernames.add("zhangsan"); usernames.add(username); // passthrough String query = "SELECT * FROM my_table where name = " + usernames.get(0); // usernames.get(0) is not tainted ResultSet resultSet = statement.executeQuery(query); // not sink 
 

可以看到,两个代码片段的区别:
 

被污染的username被加到了usernames的第二个位置
 

  • 代码片段一将usernames.get(1)拼接到sql中,然后执行
  • 代码片段二将usernames.get(0)拼接到sql中,然后执行
 

显然,片段二是不会造成SQL注入风险的。
 

若分析引擎能够很好地支持这种容器相关的污点数据流分析,分析片段二时不会误报,那么其大概率是域敏感的。
 

 
 
非域敏感的分析可能会这么处理:
 
 
一个容器中的某一个对象被污染了,就把该容器整体当作是一个被污染的容器,后续从容器内获取的所有对象都是被污染的对象,从而造成误报。
 

 

四、上下文敏感
 

上下文敏感(Context Sensitive):对方法调用的上下文敏感
 

还是拿JDBC样例举例,就不再写重复的代码了,测试代码如下:
 

  • 共用方法
 

 

Java
 

复制代码
 

private static String getName(int x, HttpServletRequest req) { // 这里也是需要 path-sensitive 路径敏感 能力的 if (x > 0) { return req.getParameter("name"); } else { return "zhangsan"; } } 
 

  • 代码片段一:
 

 

Java
 

复制代码
 

String username = getName(1, req); String query = "SELECT * FROM my_table where name = " + username; // 4. 执行查询 statement.executeQuery(query); // sink 
 

  • 代码片段二
 

 

Java
 

复制代码
 

String username = getName(-1, req); String query = "SELECT * FROM my_table where name = " + username; // 4. 执行查询 statement.executeQuery(query); // sink 
 

观察上述代码可以发现:
 

  • 片段一获取的username是被污染的数据
  • 片段二获取的username是安全的数据
 

二者获取的最终数据是否被污染是由传入方法getName(int x, HttpServletRequest req)的参数x决定的,也就是由getName()方法调用的上下文决定的。
 

若分析引擎可以很好地识别方法调用的上下文,那么其大概率是上下文敏感的。
 

 
 
上下文不敏感的分析可能这么处理:
 
 
在遇到方法调用时,不考虑方法调用的上下文信息,上述示例中可能将getName()方法的返回值通过某种规则认为其返回值永远是tainted data或者是safe data,从而造成误报或漏报。
 

 

总结
 

若你想要测试一款SAST分析引擎的分析能力,直接拿本文的测试样例去跑,根据测试结果就能大概评估引擎的分析能力了,这么短小精悍的Benchmark,你爱了吗!

                

        

        

        

    




    

      

        

            

              
                
                  「已注销」
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    19
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    10
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
sast-scan:完全开源SAST扫描仪,支持多种语言和框架。与主要的CI管道和IDE(例如Azure DevOps,Google CloudBuild,VS Code和Visual Studio)集成。无需服务器!

				
			

			

				

					03-21
				

			

		

		

			
				
介绍
  ___            _____ _                    _
 / _ \          | _   _ | |                  | |
/ /_ \ \_ __  _ __ | | | | __  _ __ ___  __ _ | | _
|  _  | ' _ \| ' _ \| | | ' _ \| ' __/ _ \/ _ ` | __ |
| | | | | _) | | _) | | | | | | | |  __/ (_ | | | _
\_ | | _/ .__/ | .__/ \_ / | _ | | _ | _ |  \_ __ | \_ _,_ | \_ _ |
      | |   | |
      | _ |   | _ |
此存储库构建了appthreat/sast-scan (和quay.io/ap

			
		

	



                

              
                



	

		

			

				
					
sast-teste

				
			

			

				

					03-29
				

			

		

		

			
				
萨斯Tyk 该项目是使用版本8.3.20生成的。 开发服务器 为开发服务器运行ng serve 。... 如果您更改任何源文件,该应用程序将自动重新加载。 代码脚手架 运行ng generate component component-name生成一个新的组件。...

			
		

	



                


  
              

                


	

		

			

				
					
SAST静态应用安全测试工具的分析引擎小析

				
			

			

				

					manok的专栏
				

				

					06-19
					
					629
					
				

			

		

		

			
				
代码审计

			
		

	





	

		

			

				
					
如何选择合适的SAST工具

				
			

			

				

					jimmyleeee的专栏
				

				

					04-04
					
					1005
					
				

			

		

		

			
				
随着敏捷开发的流行,安全左移的重要性也越来越重要,实现安全的自动化,也就需要大量工具的支持,SAST工具是其中非常重要的一个工具。如何选择一个合适的SAST工具就非常重要。本文集合自己几年的SAST的开发经验和多年的SAST的使用经验,介绍一些选择SAST工具的几个需要关注的重要的方面。

1. 支持的语言与框架

这一点不言而喻,工具支持的语言是最重要的,如果使用的语言工具都不支持或者支持的不足够好,这种工具再好,也没有用。

当然,语言支持了,只是第一步,因为一个工程的开发,不可能在原生语言基础上来开发

			
		

	



		

			
		



	

		

			

				
					
史上最强BenchmarkSAST-短小精悍Benchmark

				
			

			

				

					qq_44826960的博客
				

				

					04-10
					
					812
					
				

			

		

		

			
				
史上最强Benchmark

			
		

	





	

		

			

				
					
Git(六)--分支管理(下)

				
			

			

				

					qq_25871537的博客
				

				

					04-16
					
					114
					
				

			

		

		

			
				
一. 多人协作:
先来复习一下概念:

创建本地仓库:我们打算在g/Git下面创建版本库,使用命令—git init(这个时候,查看一下g盘Git目录下会多了一个.git的隐藏文件夹)
现在我们在g/Git目录下新建一个文件test.txt,内容写“Hello Git!”。添加单个文件到本地仓库:git add并且执行提交命令git commit,才能把添加的文件提交到本地仓库(不是远程仓库!!)...

			
		

	





	

		

			

				
					
SAST静态代码检查工具对比

				
			

			

				

					weixin_49809697的博客
				

				

					03-20
					
					1112
					
				

			

		

		

			
				
对比维度coverity - 美国fortify - 美国Klocwork - 美国checkmarx - 以色列检查方向侧重质量缺陷、兼顾安全漏洞侧重安全漏洞,兼顾质量缺陷侧重质量缺陷、兼顾安全漏洞侧重安全漏洞,兼顾质量缺陷费用高中高(低于Coverity)中(低于Fortify)准确率高高高中规则数900+,支持自定义400+,支持自定义1000+(细分),支持自定义300+,支持自定义语言支持。

			
		

	





	

		

			

				
					
SAST-静态应用安全测试

				
			

			

				

					hwxiaozhi的博客
				

				

					01-18
					
					291
					
				

			

		

		

			
				
应用安全性的缺失将仍然是最常见的外部攻击方式,因此SAST将会在可预见的未来一直被重视。

			
		

	





	

		

			

				
					
git 切换分支

				
			

			

				

					A person does not really understand something until after teaching it to a computer.     Donald.E.Knuth
				

				

					01-07
					
					359
					
				

			

		

		

			
				
edda@edda:~/Documents/Eigen3/eigen$ git tag
2.0-beta1
2.0-beta2
2.0-beta3
2.0-beta4
2.0-beta5
2.0-beta6
2.0-rc1
2.0.0
2.0.1
2.0.10
2.0.11
2.0.12
2.0.13
2.0.14
2.0.15
2.0.16
2.0.17
2.0.2
2.0.3
2.0.4
2.0.5
2.0.6
2.0.7
2.0.8
2.0.9
3.0-beta1
3.0-beta2
3.0-beta

			
		

	





	

		

			

				
					
OWASP Benchmark | OWASP 基准项目镜像方式安装、配置及如何生成SAST和DAST工具的评分报告

				
			

			

				

					所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
				

				

					05-19
					
					944
					
				

			

		

		

			
				
在介绍过OWASP Benchmark后,我们已经知道了OWASP 基准项目的价值,可以用于评估SAST及DAST工具的规则检测能力,在本文将会重点介绍如何用Docker镜像安装配置OWASP Benchmark项目,以便将其应用于SAST/DAST工具的能力评估。

			
		

	





	

		

			

				
					
先科 SAST AEP-920_8202L_25T80.zip数据

				
			

			

				

					01-12
				

			

		

		

			
				
先科 SAST AEP-920_8202L_25T80.zip

			
		

	





	

		

			

				
					
ATSAST:SAST辅助教学

				
			

			

				

					05-06
				

			

		

		

			
				
 SAST辅助教学 安装 这是有关部署ATSAST的详细步骤:  您需要有一台服务器并安装以下内容:  将ATSAST复制到您的网站文件夹中;  cd /path-to-ATSAST/ git clone https://github.com/ZsgsDesign/ATSAST ./ 您的网站...

			
		

	





	

		

			

				
					
Sast9.4

				
			

			

				

					03-16
				

			

		

		

			
				
在IT行业中,SAST(Static Application Security Testing,静态应用程序安全测试)是一种用于检测代码安全漏洞的工具和技术。Sast9.4很可能是某款SAST工具的版本号,专门用于扫描和分析Groovy语言编写的代码,以确保...

			
		

	





	

		

			

				
					
SAST : Single-Shot Arbitrarily-Shaped Text Detector论文阅读笔记

				
			

			

				

					litchi
				

				

					11-05
					
					1863
					
				

			

		

		

			
				
SAST : Single-Shot Arbitrarily-Shaped Text Detector
1. 基本信息
文章来源:ACM Multimedia 2019 SAST链接
上传时间:2019.8.15
作者单位:百度、西安电子科大
检测框架:分割与边界点回归,属于EAST的演进版本 EAST链接
2. 提出问题
  自然场景的文本检测存在如下挑战: 尺寸、高宽比、方向、语言、外形的多变...

			
		

	





	

		

			

				
					
12. Hibernate 模板设计模式

				
			

			

				

					这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
				

				

					07-22
					
					1203
					
				

			

		

		

			
				
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。

			
		

	





	

		

			

				
					
Java-Lambda

				
			

			

				

					lizhiwei21的博客
				

				

					07-21
					
					494
					
				

			

		

		

			
				
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。

			
		

	





	

		

			

				
					
Promise 详解(原理篇)

				
			

			

				

					山重水复疑无路,柳暗花明又一村。
				

				

					07-20
					
					794
					
				

			

		

		

			
				
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。

			
		

	





	

		

			

				
					
Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件

					
最新发布

				
			

			

				

					weixin_43561432的博客
				

				

					07-24
					
					270
					
				

			

		

		

			
				
【代码】Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件。

			
		

	





	

		

			

				
					
sast gitlab java

				
			

			

				

					07-09
				

			

		

		

			
				
SAST (Static Application Security Testing) 是一种静态分析技术,它在软件开发生命周期早期对代码进行检查,以发现潜在的安全漏洞,而无需运行程序。GitLab 是一个基于 web 的 Git 管理平台,集成了持续集成/交付...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值