CodeQL基础语法

最新推荐文章于 2024-06-16 17:30:00 发布
最新推荐文章于 2024-06-16 17:30:00 发布
阅读量4k 收藏 2
点赞数
分类专栏: 代码审计 安全开发 文章标签: 安全 codeql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzz/article/details/124342364
版权

基础QL语法

CodeQL的查询语法有点像SQL,如果你学过基本的SQL语句,基本模式应该不会陌生。

结构

import java // 导入使用的库

from int i /* ... 变量声明... */
where i = 100 /* ... 逻辑公式 ... */
select i /* ... 表达式 ... */

import java,导入使用的库,因为我们分析的项目是java的

from int i,表示我们定义一个变量i,它的类型是int,表示我们获取所有的int类型的数据;

where i = 100, 表示当i等于1的时候,符合条件;(这是= 是一个等于的意思 == ,并不是赋值)

select i,就是输出 i

image-20220306183131091

我们经常会用到的ql类库大体如下:

名称解释
Method方法类,Method method表示获取当前项目中所有的方法
MethodAccess方法调用类,MethodAccess call表示获取当前项目当中的所有方法调用
Parameter参数类,Parameter表示获取当前项目当中所有的参数

所有方法:

import java
 
from Method method
select method

image-20220305171200362

我们再通过Method类内置的一些方法,把结果过滤一下。比如我们获取名字为 CommandExec 的方法名称。

import java
 
from Method method
where method.hasName("CommandExec")
select method.getName(), method.getDeclaringType()

image-20220305171559626

谓词

和SQL一样,where部分的查询条件如果过长,会显得很乱。CodeQL提供一种机制可以让你把很长的查询语句封装成函数。

这个函数,就叫谓词。

比如上面的案例,我们可以写成如下,获得的结果跟上面是一样的:

import java
 
predicate isStudent(Method method) {
exists(|method.hasName("getStudent"))
}
 
from Method method
where isStudent(method)
select method.getName(), method.getDeclaringType()

语法解释

predicate 表示当前方法没有返回值。

exists子查询,是CodeQL谓词语法里非常常见的语法结构,它根据内部的子查询返回true or false,来决定筛选出哪些数据。

设置Source和Sink

什么是source和sink

在代码自动化安全审计的理论当中,有一个最核心的三元组概念,就是(source,sink和sanitizer)。

source是指漏洞污染链条的输入点。比如获取http请求的参数部分,就是非常明显的Source。

sink是指漏洞污染链条的执行点,比如SQL注入漏洞,最终执行SQL语句的函数就是sink(这个函数可能叫query或者exeSql,或者其它)。

sanitizer又叫净化函数,是指在整个的漏洞链条当中,如果存在一个方法阻断了整个传递链,那么这个方法就叫sanitizer。

只有当source和sink同时存在,并且从source到sink的链路是通的,才表示当前漏洞是存在的。

image-20220313165135513

设置Source

在CodeQL中我们通过这个格式去设置

override predicate isSource(DataFlow::Node src) {
具体方法。。。
}
例如

正常的Spring Boot 框架

@RequestMapping(value="/list",method = {RequestMethod.GET, RequestMethod.POST})
	@ResponseBody
	public ResultData list(@ModelAttribute @ApiIgnore CategoryEntity category, HttpServletResponse response, HttpServletRequest request, @ApiIgnore ModelMap model, BindingResult result) {
		BasicUtil.startPage();
		List categoryList = categoryBiz.query(category);
		return ResultData.build().success(new EUListBean(categoryList,(int) BasicUtil.endPage(categoryList).getTotal()));
	}

本例中我们设置Source的代码为:

override predicate isSource(DataFlow::Node src) { src instanceof RemoteFlowSource }

这是SDK自带的规则,里面包含了大多常用的Source入口。我们使用的SpringBoot也包含在其中, 我们可以直接使用。

注: instanceof 语法是CodeQL提供的语法,后面在CodeQL进阶部分我们会讲到。

设置Sink

在CodeQL中我们通过 isSink

override predicate isSink(DataFlow::Node sink) {
	具体方法。。。
}

这里的 sink我们就正常的去定义一个construtorCall,然后这个construtorCall限定在processBuilder下就行。

codeql官方有一个ExternalProcess.qll库里面有一个ArgumentToExec类,这个类会覆盖到这个sink

那么就直接写一个

override predicate isSink(DataFlow::Node sink) {
        sink.asExpr() instanceof ArgumentToExec
}

这样就设置了一个命令执行的 Sink

Flow数据流

设置好Source和Sink后,如果一个受污染的变量,能够毫无阻拦的流转到危险函数,就表示存在漏洞。

比如如下代码:

from VulConfig config, DataFlow::PathNode source, DataFlow::PathNode sink
where config.hasFlowPath(source, sink)
select source.getNode(), source, sink, "source"

我们传递给config.hasFlowPath(source, sink)我们定义好的source和sink,系统就会自动帮我们判断是否存在漏洞了。

这一段其实基本上都是固定的,都是从Source到sink,不必深究。

简单demo

/**
 * @id java/examples/vuldemo
 * @name Rce
 * @description Rce
 * @kind path-problem
 * @problem.severity warning
 */

import java
import semmle.code.java.dataflow.FlowSources
import DataFlow::PathGraph


class VulConfig extends TaintTracking::Configuration {
  VulConfig() { this = "rceConfig" }

  override predicate isSource(DataFlow::Node src) { 
      src instanceof RemoteFlowSource 
    }

  override predicate isSink(DataFlow::Node sink) {
    sink.asExpr() instanceof ArgumentToExec
    }
}


from VulConfig config, DataFlow::PathNode source, DataFlow::PathNode sink 
where config.hasFlowPath(source, sink)
select source.getNode(), source, sink, "source"

image-20220422112847724

isSanitizer方法

从上面的demo中存在的一个数据,就是误报,这个参数其实是通过了安全函数过滤了,但是还是扫出来了,这种情况就得消除这种误报。就得使用isSanitizer

image-20220422113007659

isSanitizer是CodeQL的类TaintTracking::Configuration提供的净化方法。

override predicate isSanitizer(DataFlow::Node node) {
    exists(...)
}

isAdditionalTaintStep方法

isAdditionalTaintStep方法是CodeQL的类TaintTracking::Configuration提供的的方法,它的原型是:

override predicate isAdditionalTaintStep(DataFlow::Node node1, DataFlow::Node node2) {
    isTaintedString(node1.asExpr(), node2.asExpr())
  }
}

它的作用是将一个可控节点
A强制传递给另外一个节点B,那么节点B也就成了可控节点。

批量检测命令

CodeQL除了提供VSCode的检测插件,也提供了大量的命令行,来实现项目的集成检测。

比如:

codeql database analyze /Users/zy/Documents/project/codeql/vscode-codeql-starter-main/database/codeql_java-sec-code /Users/zy/Documents/project/codeql/vscode-codeql-starter-main/ql/java/ql/src/codeql-suites/java-security-extended.qls --format=csv --output=java-results.csv

查询制定类的的方法

import java

from Method method
where method.hasName("Deserialize") 
and 
method.getDeclaringType().hasQualifiedName("org.joychou.controller", "Fastjson")

select method

image-20220309140530549

根据Method name 和 interface name 查询

比如我想查询ContentTypeHandler 的所有子类toObject方法

import java

from Method method
where method.hasName("toObject") and method.getDeclaringType().getASupertype().hasQualifiedName("org.apache.struts2.rest.handler", "ContentTypeHandler")
select method
CodeQL进阶知识(Java)
Chenhui98的博客
09-07 658
笔者在阅读了CodeQL的官方文档,熟悉相关语法后,对CodeQL中的Java进行了一番简单的研究,本文分享这一过程的一些收获。
(Java)CodeQL进阶知识
JavaMonsterr的博客
05-25 674
在阅读了CodeQL的官方文档,熟悉相关语法后,对CodeQL中的Java进行了一番简单的研究,本文分享这一过程的一些收获。 规则的封装 通过 class 我们可以封装一系列的谓词方法,这方便我们组织并编写一系列的规则。 递归调用 class可以通过 extends 关键字申明其继承来自另外一个或多个class,我们通过使用父类或父类的谓词方法,codeql就会帮我们自动递归使用其子类。 class使用abstract进行修饰则表示该class的构造函数谓词将不起功能作用,该方式通常用于修饰N
learning-codeql:codeql学习笔记
03-27
学习代码 前言 codeql学习笔记只有Java 该笔记是为了帮助更多想要学习codeql的新手朋友,如果你有想法和我一起帮助更多人。请发邮件 加入运行截屏帮助理解Codeql代码 笔记目前单纯为个人理解,如有错误还请不吝赐教。 格式说明 目前都是中英文对照翻译,翻译大部分是机翻,会小幅度修改部分。 目录 内容 codeql自定义查询Java codeql的一些语法规则 codeql-java codeql对于Java方向上的内容 文章在线阅读网站: : 推荐类似项目
CodeQL笔记之基本语法(一)
qq_44029310的博客
10-25 2079
学习利用CodeQL进行java代码审计。包含一些概念和例子。
CodeQL笔记之基础语法(二)
qq_44029310的博客
11-02 896
学习利用CodeQL进行代码审计。基础语法包含一些概念和例子。本文是查询和类的部分。
codeql语法简介
xhdxhdxhd的博客
08-11 916
codeql语法简介 QL Language Reference CodeQL for 编程语言 QL语法来自于Datalog,Datalog来源于Prolog。 参考资料: http://www.lsv.fr/~segoufin/Papers/Mypapers/DB-chapter.pd 值 表达式 字符串: "abc\"" 范围: [3 .. 7] 集合: [1,2,3] this:QL可以通过class来定义类,类是结构化的逻辑表达 result: 在predict中,result用于绑定结果 su
Codeql初学
weixin_44689968的博客
04-09 7163
CodeQl初学 做代码审计过程中也用过很多代码扫描工具,也分析过其扫描的原理。最近网上看到很多大佬在学习GitHub之前公布的一个新开源工具codeql,瞬间有了学习的兴趣,跟着大佬们的路线自己也跟着学习一下。通过参考大佬们的一些文章,自己也亲自实践下。 一丶QL&&CodeQL QL是⼀种声明性的,⾯向对象的查询语⾔,经过优化可实现对分层数据结构的⾼效分析。支持对C++,C#,Java,JavaScript,Python,go等多种语言进行分析,可用于分析代码,查找代码中控制流等信息。
codeql_test2
02-15
这些查询可能覆盖了各种主题,从基础的语法结构识别到复杂的漏洞检测。通过分析和修改这些查询,学习者可以深入理解CodeQL的工作原理,并提升在实际项目中的应用能力。 在实践中,CodeQL查询的编写需要对目标编程...
代码分析引擎 CodeQL 初体验
晓得哥的博客
11-19 8809
作者:w7ay@知道创宇404实验室 日期:2019年11月18日 原文链接:https://paper.seebug.org/1078/ QL是一种查询语言,支持对C++,C#,Java,JavaScript,Python,go等多种语言进行分析,可用于分析代码,查找代码中控制流等信息。 之前笔者有简单的研究通过JavaScript语义分析来查找XSS,所以对于这款引擎有浓厚的研究...
RWD:Aula de Git和GitHub做FIAP的Analise和Desenvolvimento
03-20
5. **Markdown**:由于GitHub支持Markdown语法,课程可能也包含如何编写格式化的README文件和其他文档。 6. **协作实践**:通过实例展示如何与他人协作,包括forking项目、创建并推送新的分支,以及向原项目发起...
CodeQL从入门到放弃(转载)
晓川吖的专栏
09-09 1701
为什么要写这篇文章? 自从Github宣布推出CodeQL,国外越来越多安全人员使用这个项目做代码安全评估工作,截止到此刻,CodeQL在Github上已经有超过3100个Star。 但是国内了解CodeQL安全人员并不多,能google到的关于codeql的中文文章比较少。大部分中文文章,都是介绍CodeQL是什么之后,用简单的代码片段说明CodeQL的某个功能,很少有非常全面的介绍使用CodeQL对一个项目做漏洞分析的文章。这让想学习的读者一头雾水,还是不知道该如何在自己的项目上使用CodeQL
CodeQL自动化代码审计工具
weixin_50464560的博客
08-19 9327
为什么要写这篇文章?自从Github宣布推出CodeQL,国外越来越多安全人员使用这个项目做代码安全评估工作,截止到此刻,CodeQL在Github上已经有超过3100个Star。但是国内了解CodeQL安全人员并不多,能google到的关于codeql的中文文章比较少。大部分中文文章,都是介绍CodeQL是什么之后,用简单的代码片段说明CodeQL的某个功能,很少有非常全面的介绍使用CodeQL对一个项目做漏洞分析的文章。这让想学习的读者一头雾水,还是不知道该如何在自己的项目上使用CodeQL。所以我想
CodeQL从入门到入土
最新发布
白帽黑客八哥的博客
06-16 1195
CodeQL的查询语法有点像SQL语法,基本结构如下:import /*导入对应的语言包*/from [datatype] vat /*构建数据类型表,便于理解可以认为是声明变量*/where condition[var = something] /*设置逻辑表达式*/select var /*打印结果*/其实就三个步骤,定义数据类型,设置条件,进行查询。
代码审计-Codeql-1
0x00的博客
09-06 797
codeql基础语法
codeql使用指南
balance的博客
03-22 8476
目录 简介 hello world 1、安装codeql-cli 和 ql库 2、创建源码数据库 3、编写hello world 4、执行查询 进阶 1、扫描结果快速定位到源码 2、用作白盒扫描器 3、开发自己的查询代码 4、分析GitHub上的开源项目 简介 codeql是一门类似SQL的查询语言,通过对项目源码(C/C++、C#、golang、java、JavaScript、typescript、python)进行完整编译,并在此过程中把项目源码文件的所有相关信息(调用关.
codeql基本使用
YJ_12340的博客
01-12 948
分析一下自动生成的脚本文件是什么意思import python // 用于引入Python语言的元数据和查询库 比如import java就是引用java的元数据和查询库 from File f // 引入文件(File)元数据的语法 select f, "Hello, world!" // (其实这是一条语句) select和sql中的select类似查询一个具体值select关键字和sql的select类似,查询一个字符串的结果。from关键字。
个人笔记:Code 转换 SQL
Xiong_j_L的博客
04-23 451
需求 现在Oracle有两张表排班表、历史记录表 。 现有查询业务如下: 根据传递的班次和时间区域,得到该班次在此时间区域内生产的产品数量。 TIPS: 白班为08:00 - 20:00 夜班为 20:00 - 次日 08:00 根据不同的产品类型进行分类计算 传递的参数 3.1 班次 : A / B / C / ALL 其中ALL代表查询所有数量,不区分班次 3.2 ...
LeetCode sql语句 学习专题【Medium】
u011439455的博客
08-07 440
题目链接如下: https://leetcode.com/problemset/database/ 目录 626. Exchange Seats 178. Rank Scores 180. Consecutive Numbers 184. Department Highest Salary 177. Nth Highest Salary 626. Exchange Seats ...
CodeQL笔记之入门简介及其注意点
qq_44029310的博客
10-18 2036
学习利用CodeQL进行Java代码审计。本文内容都是入门知识。
CodeQL数据库文件深度解析与生成指南
这个数据库包含了代码的结构化信息,如语法树、数据流、控制流等。 2. 写查询:CodeQL的查询是以QL(查询语言)编写的,这是一种声明式的逻辑查询语言,用于描述代码中你想要查找的模式。 3. 执行查询:通过CodeQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值