首页
/ CodeQL JavaScript 数据流分析中手动修复缺失调用边的方法

CodeQL JavaScript 数据流分析中手动修复缺失调用边的方法

2025-05-28 07:13:37作者:秋泉律Samson
codeql
CodeQL是GitHub Advanced Security的核心,是一个强大的代码库,包含标准的CodeQL库和查询。学习CodeQL并运行查询,可以利用VS Code的CodeQL扩展和CodeQL CLI的相关文档。我们鼓励贡献者提交新检查或改善现有查询的建议,只需开启Pull Request,并遵循我们的贡献指南和风格规范。此项目采用MIT许可证,而CodeQL CLI在不同仓库中并有不同的许可条款。如需在闭源项目上使用CodeQL CLI,可能需要商业许可证。此外,还有Visual Studio Code的集成特性,提供QL语言高亮、智能感知和单元测试支持,以及定制的任务管理,让开发更加便捷。
项目地址:https://gitcode.com/gh_mirrors/ql/ql

在 JavaScript 安全分析中,CodeQL 是一个强大的静态分析工具,但有时会遇到调用边解析失败导致数据流中断的情况。本文将深入探讨如何通过自定义数据流规则来修复这类问题。

问题背景

在分析 JavaScript 代码时,CodeQL 的数据流跟踪可能会因为动态特性而中断。一个典型场景是当函数通过对象属性动态调用时,如示例中的 renamed.newfunc(userInput),CodeQL 可能无法自动解析到实际的 processInput 函数调用。

核心解决方案

CodeQL 提供了 isAdditionalFlowStep 谓词,允许分析人员手动添加数据流步骤。这个谓词接收两个数据流节点作为参数,当返回 true 时表示在这两个节点之间存在额外的数据流路径。

实现要点

  1. 识别未解析的调用节点:通过定义 UnresolvedCallNode 类来捕获所有无法解析调用目标的节点。

  2. 定位目标函数:创建 DesiredFunctionNode 类来精确定位我们希望连接的目标函数。

  3. 建立连接规则:在 isAdditionalFlowStep 中,将未解析调用的参数节点与目标函数的参数节点关联起来。

完整实现示例

/**
 * @kind path-problem
 */

import javascript
import semmle.javascript.dataflow.TaintTracking
import semmle.javascript.security.dataflow.CodeInjectionQuery

// 定义未解析的调用节点类
class UnresolvedCallNode extends DataFlow::InvokeNode {
  UnresolvedCallNode() { not exists(this.getACallee()) }
}

// 定义目标函数节点类
class DesiredFunctionNode extends DataFlow::FunctionNode {
  DesiredFunctionNode() { this.getName() = "processInput" }
}

module Config implements DataFlow::ConfigSig {
  // 定义污染源
  predicate isSource(DataFlow::Node source) {
    exists(DataFlow::CallNode cn | cn.getCalleeName() = "get" and cn = source)
  }

  // 定义污染汇聚点
  predicate isSink(DataFlow::Node sink) {
    exists(DataFlow::CallNode callNode |
      sink = callNode.getArgument(0) and
      callNode.getCalleeName() = "execute"
    )
  }

  // 自定义数据流步骤
  predicate isAdditionalFlowStep(DataFlow::Node nodeFrom, DataFlow::Node nodeTo) {
    exists(UnresolvedCallNode ca | ca.getAnArgument() = nodeFrom) and
    exists(DesiredFunctionNode fn | fn.getAParameter() = nodeTo)
  }
}

module Flow = TaintTracking::Global<Config>;

import Flow::PathGraph

from Flow::PathNode source, Flow::PathNode sink
where Flow::flowPath(source, sink)
select sink.getNode(), source, sink, ""

技术细节解析

  1. 节点类型识别:通过 not exists(this.getACallee()) 条件可以准确识别出所有无法解析调用目标的节点。

  2. 参数匹配ca.getAnArgument() = nodeFromfn.getAParameter() = nodeTo 确保了我们只连接正确的参数位置。

  3. 类型安全:使用专门的类来限定节点范围,避免了过度匹配导致误报。

实际应用建议

  1. 精确匹配:在实际应用中,可能需要添加更多条件来确保匹配的精确性,如检查调用上下文等。

  2. 性能考量:自定义数据流步骤会增加分析开销,应尽量限制其适用范围。

  3. 组合使用:可以与其他分析技术如类型推断结合使用,提高分析的准确性。

通过这种方法,分析人员可以有效地弥补 CodeQL 在复杂 JavaScript 模式下的分析局限,提高安全检测的覆盖率。

codeql
CodeQL是GitHub Advanced Security的核心,是一个强大的代码库,包含标准的CodeQL库和查询。学习CodeQL并运行查询,可以利用VS Code的CodeQL扩展和CodeQL CLI的相关文档。我们鼓励贡献者提交新检查或改善现有查询的建议,只需开启Pull Request,并遵循我们的贡献指南和风格规范。此项目采用MIT许可证,而CodeQL CLI在不同仓库中并有不同的许可条款。如需在闭源项目上使用CodeQL CLI,可能需要商业许可证。此外,还有Visual Studio Code的集成特性,提供QL语言高亮、智能感知和单元测试支持,以及定制的任务管理,让开发更加便捷。
项目地址:https://gitcode.com/gh_mirrors/ql/ql
登录后查看全文
热门项目推荐
相关项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
282
2.59 K
kernelkernel
deepin linux kernel
C
24
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
JavaScript
223
303
pytorchpytorch
Ascend Extension for PyTorch
Python
109
139
flutter_flutterflutter_flutter
暂无简介
Dart
571
127
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
602
169
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.04 K
608
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.03 K
448
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
154
205
fountainfountain
一个用于服务器应用开发的综合工具库。 - 零配置文件 - 环境变量和命令行参数配置 - 约定优于配置 - 深刻利用仓颉语言特性 - 只需要开发动态链接库,fboot负责加载、初始化并运行。
Cangjie
303
39