代码审计-Codeql-1

已于 2022-09-07 08:33:04 修改
阅读量701 收藏 1
点赞数
分类专栏: 云安全 文章标签: java 数据库 开发语言
于 2022-09-06 14:45:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39325340/article/details/126640197
版权

上篇讲解啦codeql的基础开发环境配置, 本章主要讲解基础语法

创建数据库

codeql database create [编译后的数据库生成路径] --language=java --command="mvn clean install --file pom.xml" --source-root="./apps/WebGoat"

-l,--language=<lang> 创建数据库的语言
-s,--source-root=<dir> 项目的源代码路径,默认为当前路径
-j,--threads=<num> 生成数据库使用的线程数,默认为1
-M,--ram=<MB> 使用多大内存执行生成命令
-c.--command=<command> 构建项目使用的命令,如maven项目使用mvn clean package等
--overwrite 覆盖之前生成的数据库,如果不加上该命令,若存在同名数据库,则报错。

非编译型语言

# python项目
codeql database create --language=python <output-folder>/python-database
# 指定优先提取器创建
codeql database create --language=go testdb --search-path ../build/codeql-extractor-go

编译型语言

# 使用以下内容构建的 C/C++ 项目make
codeql database create cpp-database --language=cpp --command=make
# CODEQL_EXTRACTOR_GO_BUILD_TRACING=on使用环境变量构建的 Go 项目
CODEQL_EXTRACTOR_GO_BUILD_TRACING=on codeql database create go-database --language=go
# 使用 Gradle 构建的 Java 项目
codeql database create java-database --language=java --command='gradle --no-daemon clean test'
# 使用 Maven 构建的 Java 项目
codeql database create java-database --language=java --command='mvn clean install'
# 自定义编译脚本,创建数据库
codeql database create new-database --language=<language> --command='./scripts/build.sh'

执行分析

codeql database analyze --ram=8000 --threads=4 --format="sarif-latest" --output="./results/sql.json"  ./databases/java-sec-database ./CWE-089/SqlTainted.ql

解释:
--ram=8000 & --threads=4 分析使用的内存和线程数
--format=<format> (必填) 输出结果的格式,如sarif-latest可以输出json格式,csv输出csv格式
--output="./results/sql.json" (必填) 输出结果路径
./databases/java-sec-database (必填) 分析的数据库路径
./CWE-089/SqlTainted.ql (必填) 使用的查询语句

测试

# 测试单个文件:
codeql dataset check testdb/db-go
codeql query run ../ql/test/test.ql --database=testdb --output=test.bqrs --search-path ..
codeql bqrs decode test.bqrs --format=csv --output=test.csv
diff -w -u <(sort test.csv) expected.csv
# 测试单个文件:
codeql database analyze ../basic/basic.testproj --format=dot nodeGraph.ql --output=outdir --rerun
dot -Tpdf -O outdir/test-plot-cfg.dot
open outdir/test-plot-cfg.dot.pdf
# 测试所有自带安全ql 
codeql database analyze python_test ../../workenv/codeql/lib/python/ql/src/Security/* --format=sarif-latest --output=python-results.json
# 测试ql/python/ql/src/Functions/下所有ql文件
codeql database analyze <python-database> ../ql/python/ql/src/Functions/ --format=sarif-latest --output=python-analysis/python-results.json

基础语法

非污点跟踪

MethodAccess :调用的方法表达式
Method : class中的方法
getCaller :方法调用所在的方法,换句话说是哪个方法体中调用的
getCallee: 被调用的方法
hasName(param):限定名称
getDeclaringType():获取此变量的类型
hasQualifiedName("package","class"):限定类名

样例:

/**
 * @name JNDI lookup with user-controlled name
 * @description Performing a JNDI lookup with a user-controlled name can lead to the download of an untrusted
 *              object and to execution of arbitrary code.
 * @kind problem
 * @problem.severity error
 * @precision high
 * @id java/jndi-injection
 * @tags security
 * 
 */
import java

from MethodAccess methodAccess
where methodAccess.getMethod().hasName("lookup") and methodAccess.getMethod().getDeclaringType().hasQualifiedName("javax.naming", "Context")
select methodAccess,methodAccess.getCaller().getName()

/*
注释
在使用命令行解析或vscode的时候,必须包含以下两个注释:(参考query-metadata-style-guide)

@kind

定义查询的类型,可以定义的类型为以下3个

problem:必须两列或其倍列,结构:element,string
path-problem,必须包含四列,结构:element, source, sink, string,后续查询必须以element,string结构
metric
@id

定义该查询的唯一标识,应以语言为开头,支持的语言如下:

C and C++: cpp
C#: cs
Go: go
Java: java
JavaScript and TypeScript: js
Python: py
后面建议接上一个该查询所针对的问题,比如

@id cs/command-line-injection
@id java/string-concatenation-in-loop
*/

控制流写法

/**
 * @id problem
 * @name problem
 * @description problem
 * @kind problem
 * @problem.severity warning
 */

import java
import semmle.code.java.dataflow.DataFlow
import semmle.code.java.dataflow.FlowSources
import semmle.code.java.dataflow.TaintTracking
import UnsafeDeserialization

from RemoteUserInput source, UnsafeDeserializationSink sink
where source.flowsTo(sink)
select source, sink

数字流污点分析写法(返回是与否),终点区别在于@kind 的定义.

**
 * @id problem
 * @name xiaomingTest
 * @description problem
 * @kind path-problem
 * @problem.severity warning
 */


import java
import semmle.code.java.dataflow.FlowSources
import semmle.code.java.dataflow.TaintTracking
import semmle.code.java.security.QueryInjection
import DataFlow::PathGraph
import semmle.code.java.security.UnsafeDeserializationQuery
import semmle.code.java.security.XSS
import semmle.code.java.security.JndiInjectionQuery

class MyConfig extends TaintTracking::Configuration {
  MyConfig() { this = "不重要的名字" }

  override predicate isSource(DataFlow::Node src) {
    src instanceof RemoteFlowSource 
    or  exists(MethodAccess call | 
            call.getMethod().getName()="getCookies" and
            src.asExpr()=call
    )
  }

  override predicate isSink(DataFlow::Node sink) {      
        exists(MethodAccess call | 
            (
             call.getMethod().getName()="readObject" or 
             call.getMethod().getName()="startsWith" or 
             call.getMethod().getName()="indexOf" or
             call.getMethod().getName()="split" or
             call.getMethod().getName()="endsWith" or
             call.getMethod().getName()="contains"
            )
            and (
                sink.asExpr()=call or
                sink.asExpr()=call.getAnArgument()
            )
        )
  }

  override predicate isSanitizer(DataFlow::Node node) {
    super.isSanitizer(node)
    or node.getType() instanceof PrimitiveType or node.getType() instanceof BoxedType
    or node.getLocation().toString().regexpMatch(".*src/test/.*")
  }

}


from MyConfig config, DataFlow::PathNode source, DataFlow::PathNode sink
where config.hasFlowPath(source, sink)
select source.getNode(), source, sink,"source"

类似于白名单机制:isSanitizer是CodeQL的类TaintTracking::Configuration提供的净化方法。它的函数原型是:

override predicate isSanitizer(DataFlow::Node node) {}

在CodeQL自带的默认规则里,对当前节点是否为基础类型做了判断。

  override predicate isSanitizer(DataFlow::Node node) {
    super.isSanitizer(node)
    or node.getType() instanceof PrimitiveType or node.getType() instanceof BoxedType
    or node.getLocation().toString().regexpMatch(".*src/test/.*")
  }

表示如果当前节点是上面提到的基础类型,那么此污染链将被净化阻断,漏洞将不存在。
漏报数据链接:isAdditionalTaintStep方法是CodeQL的类TaintTracking::Configuration提供的的方法,它的原型是:

override predicate isAdditionalTaintStep(DataFlow::Node node1, DataFlow::Node node2) {}
//列子
override predicate isAdditionalTaintStep(DataFlow::Node node1, DataFlow::Node node2) {
	isTaintedString(node1.asExpr(), node2.asExpr())
}

它的作用是将一个可控节点A强制传递给另外一个节点B,那么节点B也就成了可控节点。

常用的语法

我们介绍了使用CodeQL表示语法时最常用的标准类:Module、Class、 Function、Stmt以及 Expr类,它们都是AstNode的子类

AstNode
	Module -- python模块
	Class -- 类
	Function -- 函数
	Stmt -- 语句
		Assert -- assert语句
		Assign
		AssignStmt -- 赋值语句 x=y
		ClassDef -- 类定义语句
		FunctionDef -- 函数定义语句
		AugAssign -- 自增赋值语句 x+=y
		Break -- break语句
		Continue -- continue语句
		Delete -- del语句
		ExceptStmt -- try语句中的except部分
		Exec -- exec语句
		For -- for语句
		If -- if语句
		Pass -- pass语句
		Print -- print语句
		Raise -- raise语句
		Return -- return语句
		Try -- try语句
		While -- while语句
		With -- with语句
	Expr -- 表达式
		Attribute -- 类属性 obj.attr
		Call -- 函数调用 f(arg)
		IfExp -- 条件表达式 x if cond else y
		Lambada -- lambda表达式
		Yield -- yield表达式
		Bytes -- 字节文字,b"x"或(在python2中)的"x"
		Unicode -- Unicode文字,u"x"或(在python3中)的"x"
		Num -- 数字文字 3或者4.2这种
			IntegerLiteral 整型
			FloatLiteral 浮点型
			ImaginaryLiteral (这是啥类型)
		Dict -- 字典,{'a':2}
		Set -- 集合,{'a','b'}
		List -- 列表,['a','b']
		Tuple -- 元组,('a','b')
		DictComp -- 字典推导式,{k:v for ...}
		SetComp -- 集合推导式,{x for ...}
		ListComp -- 列表推导式,[x for ...]
		GenExpr -- 生成器表达式,(x for ...)
		Subscript -- 下标操作,seq[index]
		Name -- 对变量的引用,var
		UnaryExpr -- 一元运算,-x
		BinaryExpr -- 二元运算,x+y
		Compare -- 比较操作,0<x<10
		BoolExpr -- 短路逻辑运算,x and y,x or y
变量 Variables
	Variable -- 变量
	LocalVariable -- 函数或者类的局部变量
	GlobalVariable -- 全局(模块级)变量
其他
	Comment -- 注释

参考

https://www.freebuf.com/articles/web/283795.html (java Lombok问题
) 有些问题写的比较好,可借鉴参考

_0x00
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【神兵利器】代码审计利器——CodeQLPy
潜心学安全的小白
03-01 1292
CodeQLpy,使用之后可以提升代码审计效率,并且可以发现一些漏掉的漏洞
代码审计--源代码审计思路
02-24
但是同样会有很多弊端,通过逆向回溯的方式只能对通用漏洞进行快速审计,不能全面挖掘更有价值的漏洞,如果在时间允许的情况下,企业中安全运营对自身产品进行代码审计,就需要了解整个应用的业务逻辑,比如越权类...
CodeQL在代码审计中的应用
左手代码右手诗
07-07 937
CodeQL是一种基于静态分析的程序分析工具,由GitHub开发和维护。截止到此刻,CodeQL在Github上已经有超过6100个Star。它可以用于发现代码中的漏洞、代码质量问题和安全问题。CodeQL使用了一种特殊的编程语言QL(查询语言),可以帮助开发人员进行更加高效和精确的代码分析。CodeQL的核心思想是使用数据流分析技术去发现代码中的潜在安全问题和漏洞,它可以在编译时或者运行时对代码进行分析,找出潜在的程序缺陷和安全隐患。
codeql 代码审计
温和的跳跃
10-07 7599
刚刚把环境搭建好了。。。搭建环境永远是最讨厌的一步 如果你只是想看看codeql运行起来有什么效果 ,怎么运行,大概怎么使用。那么我建议你打开这个公共课程 CodeQL U-Boot Challenge (C/C++) | GitHub Learning LabLearn to use CodeQL, a query language that helps find bugs in source code. Find 9 remote code execution vulnerabilities in
CodeQL的自动化代码审计之路(下篇)
C20220511的博客
12-26 1105
通过反编译方式得到的源码在编译过程中遇到错误是很正常的现象,而ecj可忽略错误的特性很好的满足了CodeQL生成数据库的要求,对于CodeQL而言更需要的是编译过程能更全的覆盖源代码文件,而不是编译之后的结果要可运行。下一个要解决的问题是从jsp文件转java文件,熟悉java的小伙伴应该都很了解tomcat的运行机制,在tomcat解析jsp文件的过程中,会首先通过tomcat-jasper.jar包来把jsp转化为对应的java类文件,如图3.5所示。所以再对这个代码进行编译的时候就会报错。
代码审计-Codeql-0
0x00的博客
09-01 313
代码审计-Codeql环境配置
代码审计-企业级Web代码安全架构-247页.zip
10-08
代码审计-企业级Web代码安全架构》是一本详尽阐述企业级Web应用程序代码安全的指导书籍,共计247页。这本书旨在帮助开发者、安全工程师以及IT专业人员理解和实施有效的代码审计策略,以保障Web应用程序的安全性。...
人工智能-代码审计-一个基于 ChatGPT 的开源代码审计平台
最新发布
07-01
cd ChatGPTScan-SAST 然后在 deploy/docker-compose.yml 和 web/config.yaml 中配置数据库连接信息,要求两者一致 # deploy/docker-compose.yml db: image: mysql:latest container_name: db ...
java代码审计-Turbomail未授权接口访问分析
10-16
Java 代码审计 - TurboMail 未授权接口访问分析 Java 代码审计 Java 代码审计是指对 Java 代码进行安全检查和漏洞检测的过程。通过对 Java 代码审计,可以发现潜在的安全漏洞和问题,从而确保软件系统的安全性。...
CodeQL的自动化代码审计之路(中篇)
C20220511的博客
11-22 1460
在上一篇文章中,我们已经了解了关于CodeQL的基本语法,从实际案例角度来体验了CodeQL在代码审计中的作用。从这篇文章开始,我们将开始真正打造基于CodeQL的自动化代码审计工具,由于这仅仅是来自于个人兴趣的研究,并非来自成熟项目,所以在文章中可能缺陷,各位大佬如果有更好的意见建议,请私信。 CodeQL的代码审计整体过程可以分成两个部分,如图1.1所示,分别是从源代码解析成CodeQL数据库和从数据库中查询出安全隐患。本次分享主要关注第二阶段的内容,假设我们已经有了CodeQL数据库之后,下一步
基于CodeQL实现的半自动化代码审计工具,目前仅支持java语言。实现从源码反编译.zip
03-23
基于CodeQL实现的半自动化代码审计工具,目前仅支持java语言。实现从源码反编译
CodeQL的自动化代码审计之路(上篇)
C20220511的博客
11-11 1458
网上关于CodeQL安装的文章已经很多了,本来不打算再说这个事情,但是因为本人在CodeQL安装过程中遇到不兼容mac m1架构的情况,我想还有很多小伙伴也会遇到这个问题的,这里主要以MAC的环境来说明安装过程。CodeQL虽然也预置了部分的sink点,但是远不能满足实际的需求,需要我们在不同的漏洞环境中自定义sink点。CodeQL给我们提供的查询ql脚本有很多,如果是通过手工一个一个试的话并不是一个好的解决办法,并且官方的ql脚本并不完善,还有很大的完善空间。
白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】
m0_54129327的博客
12-05 6250
学习CodeQL代码审计工具的总结 CodeQL的安装
java代码审计code_java代码审计入门-SQL注入
weixin_35545563的博客
03-02 172
来看一下代码,首先看statement的,当然现在已经几乎没人用了,首先这里使用拼接语句,直接将id带入查询而Statement每次执行sql语句都是进行编译导致的产生//接受传参//接受传参String id=request.getParameter("id");//链接数据库Class.forName("com.mysql.jdbc.Driver");Connection conn=Drive...
白盒代码审计工具—CodeQL安装教程【Liunx】
weixin_44562450的博客
04-14 565
codeql是一个将代码转化成类似数据库的形式,并基于该database进行分析的引擎。在 CodeQL 中,代码被视为数据。安全漏洞、Bug 和其他错误被建模为可针对从代码中提取的数据库执行的查询。
玩转CodeQLpy之代码审计实战案例
A_991128a的博客
08-28 454
CodeQLpy是一款半自动化的代码审计工具,能有效提高代码审计的效率,目前项目仍处于测试阶段。项目地址https://github.com/webraybtl/CodeQLpy,在github主页有对应的安装和使用介绍,如图1.1所示。-t: 指定待扫描的源码路径。支持文件夹,jar包和war包,如果是文件夹,则必须是网站跟目录。-d: 指定待扫描的CodeQL数据库。-c: 指定待扫描的源码是编译前源码还是编译后源码。
漏洞发现:代码分析引擎 CodeQL
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-04 1398
codeql 是一门类似 SQL 的查询语言,通过对源码(C/C++、C#、golang、java、JavaScript、typescript、python)进行完整编译,并在此过程中把源码文件的所有相关信息(调用关系、语法语义、语法树)存在数据库中,然后编写代码查询该数据库来发现安全漏洞(硬编码 / XSS 等)。CodeQL 本身包含两部分解析引擎 +SDK解析引擎用...
CodeQL 使用
问题很多的小明
12-08 325
codeql的工具以及使用方法入门
Codeql学习过程
45angle仰望安全
09-18 436
概述 CodeQL就是一种代码分析平台。借助这个平台,安全研究人员可以实现变种分析的自动化。这里所谓的变种分析,就是以已知的安全漏洞作为参照物,在我们的目标代码中寻找类似的安全问题的过程,做一个合格的应用安全工程师。 Codeql入门 阅读一遍以下文档基本就能掌握初步的使用了。 官方文档 https://codeql.github.com/docs/codeql-overview/ Codeql快速上手 https://mp.weixin.qq.com/s/9v...
PHP代码审计-php-hash比较缺陷
07-08
对于PHP代码审计中的php-hash比较缺陷,我可以给你一些相关的信息。在PHP中,使用"=="操作符进行字符串比较时,存在一些问题。这是因为"=="操作符在比较字符串时会进行类型转换,可能导致意外的结果。具体来说,当...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值