CodeQL JavaScript 数据流分析中手动修复缺失调用边的方法

2025-05-28 16:33:01作者：秋泉律Samson

在 JavaScript 安全分析中，CodeQL 是一个强大的静态分析工具，但有时会遇到调用边解析失败导致数据流中断的情况。本文将深入探讨如何通过自定义数据流规则来修复这类问题。

问题背景

在分析 JavaScript 代码时，CodeQL 的数据流跟踪可能会因为动态特性而中断。一个典型场景是当函数通过对象属性动态调用时，如示例中的 renamed.newfunc(userInput)，CodeQL 可能无法自动解析到实际的 processInput 函数调用。

核心解决方案

CodeQL 提供了 isAdditionalFlowStep 谓词，允许分析人员手动添加数据流步骤。这个谓词接收两个数据流节点作为参数，当返回 true 时表示在这两个节点之间存在额外的数据流路径。

实现要点

识别未解析的调用节点：通过定义 UnresolvedCallNode 类来捕获所有无法解析调用目标的节点。
定位目标函数：创建 DesiredFunctionNode 类来精确定位我们希望连接的目标函数。
建立连接规则：在 isAdditionalFlowStep 中，将未解析调用的参数节点与目标函数的参数节点关联起来。

完整实现示例

/**
 * @kind path-problem
 */

import javascript
import semmle.javascript.dataflow.TaintTracking
import semmle.javascript.security.dataflow.CodeInjectionQuery

// 定义未解析的调用节点类
class UnresolvedCallNode extends DataFlow::InvokeNode {
  UnresolvedCallNode() { not exists(this.getACallee()) }
}

// 定义目标函数节点类
class DesiredFunctionNode extends DataFlow::FunctionNode {
  DesiredFunctionNode() { this.getName() = "processInput" }
}

module Config implements DataFlow::ConfigSig {
  // 定义污染源
  predicate isSource(DataFlow::Node source) {
    exists(DataFlow::CallNode cn | cn.getCalleeName() = "get" and cn = source)
  }

  // 定义污染汇聚点
  predicate isSink(DataFlow::Node sink) {
    exists(DataFlow::CallNode callNode |
      sink = callNode.getArgument(0) and
      callNode.getCalleeName() = "execute"
    )
  }

  // 自定义数据流步骤
  predicate isAdditionalFlowStep(DataFlow::Node nodeFrom, DataFlow::Node nodeTo) {
    exists(UnresolvedCallNode ca | ca.getAnArgument() = nodeFrom) and
    exists(DesiredFunctionNode fn | fn.getAParameter() = nodeTo)
  }
}

module Flow = TaintTracking::Global<Config>;

import Flow::PathGraph

from Flow::PathNode source, Flow::PathNode sink
where Flow::flowPath(source, sink)
select sink.getNode(), source, sink, ""

技术细节解析

节点类型识别：通过 not exists(this.getACallee()) 条件可以准确识别出所有无法解析调用目标的节点。
参数匹配：ca.getAnArgument() = nodeFrom 和 fn.getAParameter() = nodeTo 确保了我们只连接正确的参数位置。
类型安全：使用专门的类来限定节点范围，避免了过度匹配导致误报。