SAST-短小精悍的Benchmark

引言

相信大家对DevSecOps 这个概念已经不陌生了,其是一种软件开发理念,强调在DevOps的过程中融入安全性 ,即将安全实践 融入到开发、测试和部署的全生命周期 中。DevSecOps的目标是在快速迭代的软件交付过程中,通过自动化工具和持续监控的方式 ,确保安全措施的有效实施,从而降低安全风险,实现安全左移,提高软件质量和可靠性。

静态代码分析工具自然就成为了开发流程中不可或缺的一部分。熟悉SAST工具的朋友们可能都知道,其最头疼的问题就是漏报/误报 问题,SAST工具扫描出来的结果还需要具备安全+开发 能力的人员去审计。因为在用户看来,可能很多问题都是误报,这样就增加了SAST工具的使用成本。若SAST工具的分析能力足够强大,将会很大程度上降低其维护成本。

影响SAST工具核心分析能力的是敏感性分析 ,包括流敏感路径敏感域敏感上下文敏感等。接下来,我们结合具体的代码示例来看这几个敏感性概念。

一、流敏感

流敏感(Flow Sensitive):对语句的执行顺序敏感

也就是说,引擎是可以感知语句的执行顺序的,若执行顺序改变影响到了最终的分析结果,引擎也是可以感知的。

  • 示例
Java 复制代码
// 方法一
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse res) {
    String username;
    username = "SASTing"; // 赋值在username被污染前执行
    // 用户请求中的数据认为是有风险的,所以被认为是污染源
    username = req.getParameter("name"); // tainted source
    // 污染源被拼接到sql语句中
    String sql = "select * from users where username = " + username; // add username to sql
    // 模拟sql语句执行,被污染的sql被执行了,所以是被认为是爆发点
    executeSql(sql); // sink
}

// 方法二
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse res) {
    String username;
    username = req.getParameter("name");
    username = "SASTing"; // 赋值在username被污染后执行
    String sql = "select * from users where username = " + username;
    executeSql(sql);
}

对比以上两个方法,显然方法一是有SQL注入 风险的,方法二是没有SQL注入风险的,因为在方法二中,usernamesql拼接前被重新赋值为 "SASTing"

若SAST工具支持流敏感 分析,那么其是可以感知语句间的执行顺序 的,也就是说,可以感知username被污染和被重新赋值的执行顺序,所以在方法二中不会产生误报;相反,不支持流敏感分析的就会有误报产生。

流不敏感的分析可能会这么处理:

针对变量username,只要方法内有一条语句对其进行了污染(即使在污染后对username做了重新赋值),那么在当前方法内,username就被认为是污点数据, 从而造成误报。

二、路径敏感

路径敏感(Path Sensitive):对控制流分支敏感

Java 复制代码
// 方法一
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    // bad
    String input;
    int x = 3;
    // path-sensitive
    if (x > 0) {
        input = req.getParameter("input1"); // source
    } else {
        input = "safe input";
    }
    resp.getWriter().write(input);  // sink
}

// 方法二
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    // good
    String input;
    int x = 3;
    // path-sensitive
    if (x < 0) {
        input = req.getParameter("input1");
    } else {
        input = "safe input";
    }
    resp.getWriter().write(input);
}

上述两个方法,数据流是这样的:

  • source:从用户请求中获取参数"input1"(tainted data)
  • sink:tainted data 传递给resp.getWriter().write()方法,被直接返回给前端页面
  • 因此会有反射型XSS风险

但是,很明显方法二是没有风险的,因为方法二中的if条件永远为false,所以input永远为"safe input"字符串,所以不存在风险。

若分析引擎可以识别方法二中的分支条件,不会造成误报,那么大概率可以判断是路径敏感(path-sensitive)的。

路径不敏感的分析可能会这么处理:

if 块和 else 块内的数据都流向数据读取处 ,然后对数据做类似这样的merge处理:merge(unsafeData, safeData) = unsafeData,从而造成误报。

路径敏感一般的实现方式有:常量传播抽象解释符号执行、**SSA(静态单赋值)**等。

三、域敏感

域敏感(Field Sensitive):对类字段/容器域敏感

1.类字段敏感

在使用JDBC+mysql时可能会有如下代码场景:

Java 复制代码
static final String JDBC_URL = "jdbc:mysql://localhost:3306/mydatabase";
static final String USERNAME = "username";
static final String PASSWORD = "password";

@Data
private static class User {
    private String name;
    private String gender;
}

// 方法一
private void test_bad(HttpServletRequest req) throws SQLException, ClassNotFoundException {
    Connection connection = null;

    // 1. 加载驱动程序
    Class.forName("com.mysql.cj.jdbc.Driver");

    // 2. 建立数据库连接
    connection = DriverManager.getConnection(JDBC_URL, USERNAME, PASSWORD);

    // 3. 创建Statement对象
    Statement statement = connection.createStatement();

    String username = req.getParameter("name");  // tainted source
    User user = new User();
    user.setName(username);

    // 4. 执行查询
    String query = "SELECT * FROM my_table where name = " + user.getName(); // field-sensitive -> user.getName() tainted
    ResultSet resultSet = statement.executeQuery(query); // sink
    // 6. 关闭资源
    connection.close();
}

// 方法二
private void test_good(HttpServletRequest req) throws ClassNotFoundException, SQLException {
    Connection connection = null;

    // 1. 加载驱动程序
    Class.forName("com.mysql.cj.jdbc.Driver");

    // 2. 建立数据库连接
    connection = DriverManager.getConnection(JDBC_URL, USERNAME, PASSWORD);

    // 3. 创建Statement对象
    Statement statement = connection.createStatement();

    String username = req.getParameter("name");  // tainted source
    User user = new User();
    user.setName(username);

    // 4. 执行查询
    String query = "SELECT * FROM my_table where name = " + user.getGender(); // field-sensitive -> user.getGender() not tainted
    ResultSet resultSet = statement.executeQuery(query); // not sink
    // 6. 关闭资源
    connection.close();
}

可以看到,以上方法一和方法二的主要区别在于:

方法一user对象的name字段被污染,然后将user.getName()拼接到sql语句

方法二user对象的name字段被污染,然后将user.getGender()拼接到sql语句

显然,方法二是没有sql注入风险的

若分析引擎可以很好地识别被污染对象的具体字段 ,方法二的情况不会发生误报,那么其大概率是域敏感的。

非域敏感的分析可能会这么处理:

一个对象的某一个字段 被污染了,就把该对象整体当作是一个被污染的对象,后续获取该对象的所有字段都认为是被污染的数据,从而造成误报。

2.容器域敏感

  • 代码片段一
Java 复制代码
List<String> usernames = new LinkedList<>();
String username = req.getParameter("name");  // tainted source
usernames.add("zhangsan");
usernames.add(username); // passthrough

String query = "SELECT * FROM my_table where name = " + usernames.get(1); // usernames.get(1) is tainted
ResultSet resultSet = statement.executeQuery(query); // sink
  • 代码片段二
Java 复制代码
List<String> usernames = new LinkedList<>();
String username = req.getParameter("name");  // tainted source
usernames.add("zhangsan");
usernames.add(username); // passthrough

String query = "SELECT * FROM my_table where name = " + usernames.get(0); // usernames.get(0) is not tainted
ResultSet resultSet = statement.executeQuery(query); // not sink

可以看到,两个代码片段的区别:

被污染的username被加到了usernames的第二个位置

  • 代码片段一将usernames.get(1)拼接到sql中,然后执行
  • 代码片段二将usernames.get(0)拼接到sql中,然后执行

显然,片段二是不会造成SQL注入风险的。

若分析引擎能够很好地支持这种容器相关的污点数据流分析 ,分析片段二时不会误报,那么其大概率是域敏感的。

非域敏感的分析可能会这么处理:

一个容器中的某一个对象 被污染了,就把该容器整体 当作是一个被污染的容器,后续从容器内获取的所有对象都是被污染的对象,从而造成误报。

四、上下文敏感

上下文敏感(Context Sensitive):对方法调用的上下文敏感

还是拿JDBC样例举例,就不再写重复的代码了,测试代码如下:

  • 共用方法
Java 复制代码
private static String getName(int x, HttpServletRequest req) {
    // 这里也是需要 path-sensitive 路径敏感 能力的
    if (x > 0) {
        return req.getParameter("name");
    }
    else {
        return "zhangsan";
    }
}
  • 代码片段一:
Java 复制代码
String username = getName(1, req);
String query = "SELECT * FROM my_table where name = " + username; // 4. 执行查询
statement.executeQuery(query); // sink
  • 代码片段二
Java 复制代码
String username = getName(-1, req);
String query = "SELECT * FROM my_table where name = " + username; // 4. 执行查询
statement.executeQuery(query); // sink

观察上述代码可以发现:

  • 片段一获取的username是被污染的数据
  • 片段二获取的username是安全的数据

二者获取的最终数据是否被污染是由传入方法getName(int x, HttpServletRequest req)的参数x决定的,也就是由getName()方法调用的上下文决定的。

若分析引擎可以很好地识别方法调用的上下文 ,那么其大概率是上下文敏感的。

上下文不敏感的分析可能这么处理:

在遇到方法调用时,不考虑方法调用的上下文信息,上述示例中可能将getName()方法的返回值通过某种规则认为其返回值永远是tainted data或者是safe data,从而造成误报或漏报。

总结

若你想要测试一款SAST分析引擎的分析能力,直接拿本文的测试样例去跑,根据测试结果就能大概评估引擎的分析能力了,这么短小精悍的Benchmark,你爱了吗!

github仓库

所有测试样例都会同步到开源仓库,欢迎大家多多star~ github.com/HaHarden/CP...

公主号推荐

公主号id:CodeAnalyzer,公主号名称:CodeAnalyzer Ultra

相关推荐
duration~41 分钟前
Maven随笔
java·maven
zmgst44 分钟前
canal1.1.7使用canal-adapter进行mysql同步数据
java·数据库·mysql
跃ZHD1 小时前
前后端分离,Jackson,Long精度丢失
java
blammmp1 小时前
Java:数据结构-枚举
java·开发语言·数据结构
暗黑起源喵2 小时前
设计模式-工厂设计模式
java·开发语言·设计模式
WaaTong2 小时前
Java反射
java·开发语言·反射
九圣残炎2 小时前
【从零开始的LeetCode-算法】1456. 定长子串中元音的最大数目
java·算法·leetcode
wclass-zhengge2 小时前
Netty篇(入门编程)
java·linux·服务器
Re.不晚3 小时前
Java入门15——抽象类
java·开发语言·学习·算法·intellij-idea
雷神乐乐3 小时前
Maven学习——创建Maven的Java和Web工程,并运行在Tomcat上
java·maven