首页
/ CodeQL JavaScript 数据流分析中处理未解析调用边界的技巧

CodeQL JavaScript 数据流分析中处理未解析调用边界的技巧

2025-05-28 02:59:32作者:柏廷章Berta

在静态代码分析工具CodeQL的JavaScript分析中,数据流追踪经常会遇到调用边界(call edge)无法解析的情况。这种情况会导致潜在的安全问题被漏报,特别是当代码使用动态属性访问或高阶函数时。

问题背景

考虑以下JavaScript代码示例,这是一个典型的代码执行场景:

function renameFunction(newName, fn) {
    return {
      [newName]: fn
    };
}

function getUserInput() {
    let userInput = new URLSearchParams(window.location.search).get('input');
    const renamed = renameFunction('newfunc', evalInput);
    renamed.newfunc(userInput); // 动态调用
}

function evalInput(input) {
    eval(input); // 敏感操作
}

getUserInput()

在这个例子中,renamed.newfunc(userInput)这一行创建了一个动态调用,CodeQL默认的数据流分析可能无法正确识别这个调用实际上指向evalInput函数。

解决方案

CodeQL提供了isAdditionalFlowStep谓词(predicate)来手动添加数据流步骤。我们可以利用这个机制来修复未解析的调用边界。

技术实现

  1. 定义未解析调用节点类: 首先创建一个专门识别未解析调用的类:
class UnresolvedCallNode extends DataFlow::InvokeNode {
  UnresolvedCallNode() { not exists(this.getACallee()) }
}
  1. 定义目标函数节点类: 然后创建识别目标函数的类:
class DesiredFunctionNode extends DataFlow::FunctionNode {
  DesiredFunctionNode() { this.getName() = "evalInput" }
}
  1. 实现自定义数据流步骤: 最后在配置模块中实现isAdditionalFlowStep
predicate isAdditionalFlowStep(DataFlow::Node nodeFrom, DataFlow::Node nodeTo) {
  exists(UnresolvedCallNode ca | ca.getAnArgument() = nodeFrom) and
  exists(DesiredFunctionNode fn | fn.getAParameter() = nodeTo)
}

完整查询示例

/**
 * @kind path-problem
 */

import javascript
import semmle.javascript.dataflow.TaintTracking
import semmle.javascript.security.dataflow.CodeInjectionQuery

class UnresolvedCallNode extends DataFlow::InvokeNode {
  UnresolvedCallNode() { not exists(this.getACallee()) }
}

class DesiredFunctionNode extends DataFlow::FunctionNode {
  DesiredFunctionNode() { this.getName() = "evalInput" }
}

module Config implements DataFlow::ConfigSig {
  predicate isSource(DataFlow::Node source) {
    exists(DataFlow::CallNode cn | cn.getCalleeName() = "get" and cn = source)
  }

  predicate isSink(DataFlow::Node sink) {
    exists(DataFlow::CallNode callNode |
      sink = callNode.getArgument(0) and
      callNode.getCalleeName() = "eval"
    )
  }

  predicate isAdditionalFlowStep(DataFlow::Node nodeFrom, DataFlow::Node nodeTo) {
    exists(UnresolvedCallNode ca | ca.getAnArgument() = nodeFrom) and
    exists(DesiredFunctionNode fn | fn.getAParameter() = nodeTo)
  }
}

module Flow = TaintTracking::Global<Config>;

import Flow::PathGraph

from Flow::PathNode source, Flow::PathNode sink
where Flow::flowPath(source, sink)
select sink.getNode(), source, sink, ""

技术原理

这种解决方案的核心思想是:

  1. 识别所有未解析的调用节点(UnresolvedCallNode)
  2. 将这些调用的参数(nodeFrom)与目标函数(DesiredFunctionNode)的参数(nodeTo)关联起来
  3. 建立人工的数据流步骤,使污点分析能够跨越原本无法解析的调用边界

这种方法特别适用于以下场景:

  • 动态属性访问的函数调用
  • 高阶函数返回的函数调用
  • 通过对象字面量间接调用的函数
  • 其他静态分析难以追踪的调用场景

注意事项

  1. 这种解决方案需要精确知道目标函数的名称,可能不适用于完全动态的场景
  2. 过度使用isAdditionalFlowStep可能导致误报增加
  3. 对于复杂的动态调用场景,可能需要结合其他CodeQL特性如类型推断一起使用
  4. 在实际应用中,建议先确认确实是分析器遗漏了有效路径,再添加人工步骤

通过这种技术,我们可以显著提高CodeQL在JavaScript动态代码分析中的准确性,特别是对于安全敏感的操作如代码执行等场景的分析能力。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
156
2 K
kernelkernel
deepin linux kernel
C
22
6
pytorchpytorch
Ascend Extension for PyTorch
Python
38
72
ops-mathops-math
本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
519
50
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
943
556
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
196
279
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
993
396
communitycommunity
本项目是CANN开源社区的核心管理仓库,包含社区的治理章程、治理组织、通用操作指引及流程规范等基础信息
361
12
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Python
75
71