CodeQL的自动化代码审计之路(中篇)

最新推荐文章于 2025-10-27 20:29:15 发布
原创 最新推荐文章于 2025-10-27 20:29:15 发布 · 1.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#自动化 #安全 #java

0x01 前言

在上一篇文章中,我们已经了解了关于CodeQL的基本语法,从实际案例角度来体验了CodeQL在代码审计中的作用。从这篇文章开始,我们将开始真正打造基于CodeQL的自动化代码审计工具,由于这仅仅是来自于个人兴趣的研究,并非来自成熟项目,所以在文章中可能缺陷,各位大佬如果有更好的意见建议,请私信。

CodeQL的代码审计整体过程可以分成两个部分,如图1.1所示,分别是从源代码解析成CodeQL数据库和从数据库中查询出安全隐患。本次分享主要关注第二阶段的内容,假设我们已经有了CodeQL数据库之后,下一步基于数据库的自动化查询。

图1.1 CodeQL代码审计过程阶段

为什么我们最终结果得到的是安全隐患,而不是漏洞呢?这是因为CodeQL并不是万能的,它只能帮我们找到可能的安全隐患,而不能一定确认漏洞存在,这在后面的文章中会说到原因。

当前的自动化代码审计工具将采用python3开发,针对的目标语言是java,后续如果有时间,也会陆续支撑其他语言。目前代码还不是特别完善,后期后继续对代码进行优化,见github地址:

https://github.com/webraybtl/codeql

0x02 工具设计

基于CodeQL的自动化代码审计工具流程其实和传统的漏洞扫描工具相似,所以我们还是按照传统漏扫的思路来设计工具。关于第一阶段源码转化为数据库的部分在下一篇文章来详述,这里还是只关注第二阶段数据库查询的内容,如图2.1所示。

图2.1 自动化工具设计流程

其实从流程中可以看出,工具的主要功能是基于ql插件的遍历,对插件结果的格式化输出。首先需要解决的问题是关于ql插件来源的问题,在上一篇文章中,我们有提到CodeQL官方给我们提供了很多测试用的demo实例

https://github.com/github/codeql/tree/main/java/ql/src/experimental/Security/CWE。

官方按照CWE提供了多个不同类型的ql插件,部分插件是可以直接来用的,但是有的插件涉及到自定义qll库,需要进行一定的转化才能使用,如图2.2所以,FilePathInjection.ql脚本就是典型的有自定义库的脚本。

图2.2 使用了qll自定义库的ql脚本

在我们设计的自动化工具中,为了方便会只查询单个ql脚本,需要把ql脚本中调用的qll库进行转化。转化的方式是显示的把qll库中定义的类和谓词直接定义到ql脚本中,我已经把官方提供的全部脚本都转化了一遍,后续会将完整的代码分享到github。

为了方便统一的对结果进行格式化输出,我们期待每一个ql文件最终返回的结果都是统一格式,所以还需要对每个ql文件最终的返回结果进行约束,典型的demo如下所示。其中select后面的值是ql脚本最终返回的数据。

from DataFlow::PathNode source, DataFlow::PathNode sink, BeanShellInjectionConfig confwhere conf.hasFlowPath(source, sink)select source.toString(),source.getNode().getEnclosingCallable(),source.getNode().getEnclosingCallable().getFile().getAbsolutePath(),       
最低0.47元/天 解锁文章
CodeQL自动化代码审计之路(上篇)
C20220511的博客
11-11 1920
网上关于CodeQL安装的文章已经很多了,本来不打算再说这个事情,但是因为本人在CodeQL安装过程中遇到不兼容mac m1架构的情况,我想还有很多小伙伴也会遇到这个问题的,这里主要以MAC的环境来说明安装过程。CodeQL虽然也预置了部分的sink点,但是远不能满足实际的需求,需要我们在不同的漏洞环境中自定义sink点。CodeQL给我们提供的查询ql脚本有很多,如果是通过手工一个一个试的话并不是一个好的解决办法,并且官方的ql脚本并不完善,还有很大的完善空间。
玩转CodeQLpy之代码审计实战案例
C20220511的博客
01-12 916
该系统的源码是主要由jsp文件和class文件组成,其中部分源码经过混淆,如图2.1所示。其中类名称和字段名称的可读性很差,不方便阅读,而且该系统的代码量较大,大约有4600个文件。因为这一步创建的数据库是用上一步反编译的源码进行编译,反编译的源码不能保证完全正确,所以会有错。最终得到的结果是csv文件,保存路径在out/result/目录,打开对应的文件,如图2.5所示。-v: 指定待测试源码的jdk版本,目前支持6,7,8,11。这一步需要使用上一步命令最终相应的生成数据库的路径,如图2.4所示。
CodeQL实战:自动化挖掘newbee-mall中的潜在安全漏洞
最新发布
专注于网络安全攻防技术与安全运营(SecOps)实践。
10-27 929
本文提供了一份使用CodeQL对开源Java电商项目newbee-mall进行自动化漏洞挖掘的实战指南。主要内容包括:1)环境搭建与CodeQL数据库创建;2)运行标准安全查询(SQL注入、XSS、路径遍历等)进行自动化扫描;3)结果分析与误报处理技巧;4)探讨自定义查询的可能性。文章通过详细的操作步骤和示例,展示了如何利用CodeQL这一强大的静态分析工具,高效发现Java项目中的安全隐患,为开发者提供了一套可落地的安全审计方案。
基于CodeQL实现的半自动化代码审计工具,目前仅支持java语言。实现从源码反编译.zip
03-23
基于CodeQL实现的半自动化代码审计工具,目前仅支持java语言。实现从源码反编译
自动化代码审计系统
07-04 901
代码审计系统 https://github.com/yingshang/banruo 该系统是使用python3的django去开发,队列使用celery+redis,最后调用代码审计工具fortify进行审计代码。 参考文章: [甲方安全建设之路]自动化代码审计系统 https://www.cnblogs.com/sevck/p/10432981.html 第三...
CodeQL自动化代码审计之路(下篇)
C20220511的博客
12-26 1493
通过反编译方式得到的源码在编译过程中遇到错误是很正常的现象,而ecj可忽略错误的特性很好的满足了CodeQL生成数据库的要求,对于CodeQL而言更需要的是编译过程能更全的覆盖源代码文件,而不是编译之后的结果要可运行。下一个要解决的问题是从jsp文件转java文件,熟悉java的小伙伴应该都很了解tomcat的运行机制,在tomcat解析jsp文件的过程中,会首先通过tomcat-jasper.jar包来把jsp转化为对应的java类文件,如图3.5所示。所以再对这个代码进行编译的时候就会报错。
基于modbus协议的工业自动化网络规范_物联网设备的网络连接---中篇
weixin_39756540的博客
11-13 708
在上篇《物联网设备的网络连接---上篇》中我们介绍了物联网的网格结构及物联网组网技术本篇,我们将带您了解物联网传输协议。三、物联网传输协议上节介绍的物联网组网技术,主要解决的是物理层和链路层的网络连接技术;当设备都连接到同一个物联网络以后,它们的通信必须使用统一的协议,才能进行数据交换以及协同工作。这就是物联网传输协议的职责,它们大多基于TCP/UDP协议之上,按照图1所示的协议层次,属于应用层协...
.NETCore跨平台的奥秘[中篇]:复用之殇
01-27
【.NET Core跨平台的奥秘:复用之殇】深入解析 在.NET技术的发展历程中,跨平台一直是其核心目标之一。自.NET Framework诞生以来,微软为了适应各种设备和平台的需求,推出了多个针对特定环境的.NET变体,如Windows...
《武林传之刀剑江湖录[中篇]》源代码解析
由于提到了源代码的存在,这可能暗示了游戏的一些特殊之处,如开放代码给玩家探索或是一个未预料到的开发文件泄露。这类情况在游戏行业中并不常见,也提示了在游戏发布过程中需要更加谨慎地处理源代码,以保护知识...
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3865
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
自动化代码审计工具:AutoStrike
gitblog_00048的博客
04-23 514
自动化代码审计工具:AutoStrike 在软件开发的世界里,代码质量是产品质量的基础。为了确保代码健康、稳定和安全,持续的代码审核至关重要。这就是项目大放异彩的地方。AutoStrike 是一个自动化代码审查工具,它利用先进的静态代码分析技术,帮助开发者检测并修复潜在的错误和不良实践。 技术分析 AutoStrike 基于 Python 编写,并利用了SonarQube和ESLint等业界标准的...
基于python的自动化代码审计
02-24
从python常规漏洞来看都有一个共同点,那就是危险函数中使用了可控参数,如system函数中使用到的(‘mv%s’%filename),如execute函数中使用到的username参数,如HttpResponse中使用到的nickname参数,这些参数直接从第一层入口函数中传进来,或者经过简单的编码,截断等处理直接进入危险函数,导致了以上危险行为。注入判断的核心就在于找到危险函数,并且判断其参数是可控的,找到危险函数这个只需要维护一个危险函数列表即可。当在语法树中发现了函数调用并且其名称在危险列表中就可以标记出该行代码,接下来的难点就在于跟踪该函数的参数,默认认为该危险函数的外层函数的参数
代码审计工具Findbugs自动检查CheckList及配置方法
07-04
代码审计工具Findbugs是一个应用比较广泛的开源代码审计工具,如果开发团队利用好了这个工具,能够很大程度上提高软件产品的安全性。而且重要的是Free。 其中介绍内容包括: Malicious code vulnerability 恶意代码 Dodgy 小问题 Bad practice 不好的习惯 Bogus random noise 无效代码 Correctness 代码的正确性 Internationalization 国际化问题 Performance 性能问题 Security 安全性问题 Multithreaded currectness 线程问题 Experrimental 实验性问题
codeql-examples-public:codeql示例
03-04
codeql-examples-public:codeql示例
CodeQL自动化代码审计工具
热门推荐
weixin_50464560的博客
08-19 1万+
为什么要写这篇文章?自从Github宣布推出CodeQL,国外越来越多安全人员使用这个项目做代码安全评估工作,截止到此刻,CodeQL在Github上已经有超过3100个Star。但是国内了解CodeQL安全人员并不多,能google到的关于codeql的中文文章比较少。大部分中文文章,都是介绍CodeQL是什么之后,用简单的代码片段说明CodeQL的某个功能,很少有非常全面的介绍使用CodeQL对一个项目做漏洞分析的文章。这让想学习的读者一头雾水,还是不知道该如何在自己的项目上使用CodeQL。所以我想
代码审计之SAST自动化
goddemon
04-30 1127
很久没写文章了,有点忙,落个笔,分享一些捣鼓或说适配好的一些好玩的东西。脚本工具不开源,给一些思路,希望能给大家带来一些收获。笔者能力有限,如有错误,欢迎斧正。
代码审计-Codeql-1
0x00的博客
09-06 1028
codeql的基础语法
python自动化处理审计_自动化代码审计
weixin_42128558的博客
02-11 481
0x00 前言大概去年的时候就想写这样一篇文章,最近看到老外写的一个ppt,于是就有了这篇文章,随便看看就好,价值不是很大。测试一个应用程序是否存在漏洞的思路总结起来无非 黑盒 和白盒 ,或者两者结合。黑盒的思路简单概括即是 通过异常输入判断程序是否存在漏洞,白盒即是 通过审阅程序代码来了解程序逻辑来判断漏洞。我这里想说的思路是结合两者的特性来完成整个过程的自动化。如果要你用一句话来概括一下白盒的...
代码审计-Codeql-0
0x00的博客
09-01 512
代码审计-Codeql环境配置
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值