CodeQL JavaScript 数据流分析中处理未解析调用边界的技巧

在静态代码分析工具CodeQL的JavaScript分析中，数据流追踪经常会遇到调用边界(call edge)无法解析的情况。这种情况会导致潜在的安全问题被漏报，特别是当代码使用动态属性访问或高阶函数时。

问题背景

考虑以下JavaScript代码示例，这是一个典型的代码执行场景：

function renameFunction(newName, fn) {
    return {
      [newName]: fn
    };
}

function getUserInput() {
    let userInput = new URLSearchParams(window.location.search).get('input');
    const renamed = renameFunction('newfunc', evalInput);
    renamed.newfunc(userInput); // 动态调用
}

function evalInput(input) {
    eval(input); // 敏感操作
}

getUserInput()

在这个例子中，renamed.newfunc(userInput)这一行创建了一个动态调用，CodeQL默认的数据流分析可能无法正确识别这个调用实际上指向evalInput函数。

解决方案

CodeQL提供了isAdditionalFlowStep谓词(predicate)来手动添加数据流步骤。我们可以利用这个机制来修复未解析的调用边界。

技术实现

1. 定义未解析调用节点类： 首先创建一个专门识别未解析调用的类：

class UnresolvedCallNode extends DataFlow::InvokeNode {
  UnresolvedCallNode() { not exists(this.getACallee()) }
}

2. 定义目标函数节点类： 然后创建识别目标函数的类：

class DesiredFunctionNode extends DataFlow::FunctionNode {
  DesiredFunctionNode() { this.getName() = "evalInput" }
}

3. 实现自定义数据流步骤： 最后在配置模块中实现isAdditionalFlowStep：

predicate isAdditionalFlowStep(DataFlow::Node nodeFrom, DataFlow::Node nodeTo) {
  exists(UnresolvedCallNode ca | ca.getAnArgument() = nodeFrom) and
  exists(DesiredFunctionNode fn | fn.getAParameter() = nodeTo)
}

完整查询示例

/**
 * @kind path-problem
 */

import javascript
import semmle.javascript.dataflow.TaintTracking
import semmle.javascript.security.dataflow.CodeInjectionQuery

class UnresolvedCallNode extends DataFlow::InvokeNode {
  UnresolvedCallNode() { not exists(this.getACallee()) }
}

class DesiredFunctionNode extends DataFlow::FunctionNode {
  DesiredFunctionNode() { this.getName() = "evalInput" }
}

module Config implements DataFlow::ConfigSig {
  predicate isSource(DataFlow::Node source) {
    exists(DataFlow::CallNode cn | cn.getCalleeName() = "get" and cn = source)
  }

  predicate isSink(DataFlow::Node sink) {
    exists(DataFlow::CallNode callNode |
      sink = callNode.getArgument(0) and
      callNode.getCalleeName() = "eval"
    )
  }

  predicate isAdditionalFlowStep(DataFlow::Node nodeFrom, DataFlow::Node nodeTo) {
    exists(UnresolvedCallNode ca | ca.getAnArgument() = nodeFrom) and
    exists(DesiredFunctionNode fn | fn.getAParameter() = nodeTo)
  }
}

module Flow = TaintTracking::Global<Config>;

import Flow::PathGraph

from Flow::PathNode source, Flow::PathNode sink
where Flow::flowPath(source, sink)
select sink.getNode(), source, sink, ""

技术原理

这种解决方案的核心思想是：

1. 识别所有未解析的调用节点(UnresolvedCallNode)
2. 将这些调用的参数(nodeFrom)与目标函数(DesiredFunctionNode)的参数(nodeTo)关联起来
3. 建立人工的数据流步骤，使污点分析能够跨越原本无法解析的调用边界

这种方法特别适用于以下场景：

• 动态属性访问的函数调用
• 高阶函数返回的函数调用
• 通过对象字面量间接调用的函数
• 其他静态分析难以追踪的调用场景

注意事项

1. 这种解决方案需要精确知道目标函数的名称，可能不适用于完全动态的场景
2. 过度使用isAdditionalFlowStep可能导致误报增加
3. 对于复杂的动态调用场景，可能需要结合其他CodeQL特性如类型推断一起使用
4. 在实际应用中，建议先确认确实是分析器遗漏了有效路径，再添加人工步骤

通过这种技术，我们可以显著提高CodeQL在JavaScript动态代码分析中的准确性，特别是对于安全敏感的操作如代码执行等场景的分析能力。