黑客信息网IDE插件开发_代码审计之多项拼接型SQLi-2

访客4年前黑客文章667

一、背景

代码审计,想必搞安全的同学再熟悉不过了,和标题中的IDE 插件有什么关系呢?莫不是标题党?
偶然挖洞闲暇时,发现了陌陌安全SRC的一个公告SAST开源,赶紧去撸一波源码,最终以看不懂为由挂机了。因此我决定从IDE插件开发学起,撸光它的码子。安全行业难能可贵的是开源精神,谢谢大厂。有请今天的主角momo-code-sec-inspector-java。大家可以先看着源码,看不懂了我们在来看看我下面的从0到1学开发插件。

上一篇介绍完IDEA插件开发的环境准备以及之一个插件开发,从本篇内容开始就对审计不同漏洞类型的代码进行分析,如下表,本篇为1001 拼接SQLi

编号规则名称修复建议一键修复
1001多项式拼接型SQL注入漏洞T
1002占位符拼接型SQL注入漏洞T
1003Mybatis注解SQL注入漏洞TT
1004Mybatis XML SQL注入漏洞TT
1005RegexDos风险TT
1006Jackson反序列化风险TT
1007Fastjson反序列化风险TT
1008Netty响应拆分攻击TT
1009固定的随机数种子风险TT
1010XXE漏洞TT
1011XStream反序列化风险TT
1014脆弱的消息摘要算法T
1015过时的加密标准T
1016XMLDecoder反序列化风险T
1017LDAP反序列化风险TT
1018宽泛的CORS Allowed Origin设置T
1019SpringSecurity关闭Debug模式TT
1020硬编码凭证风险T
1021"@RequestMapping" *** 应当为 "public"TT
1022Spring 会话固定攻击风险TT
1023不安全的伪随机数生成器TT
1024OpenSAML2 认证绕过风险TT
1025IP地址硬编码T

二、 插件代码分析

2.1 知识储备

java_sec_code

提供了java漏洞代码示例,非专业程序猿请勿模仿,这是漏洞代码,漏洞代码,漏洞代码

代码审计官方示例

提供代码审计模板,可以git clone下来以此为模板

PSI理解

PSI是IDEA 插件开发里面一个特殊命名(Program Structure Interface)

PSI负责解析文件并创建语法和语义代码模型,以支持jetbrains的所有产品语言

通俗的来讲,PSI文件就是一棵大树,那这棵大树就是文件,大树上有很多枝丫,这些枝丫就是PSI element,枝丫上的所有小枝丫都是element
image

PsiViewer 插件安装

这个插件便于我们理解代码中重写 *** 的选择,也是IDEA开发获取psi element的一个辅助工具PsiViewer

也可以在plugin中搜索安装

image

官方SDK文档
SDK文档

2.2 项目结构图

image

2.3 代码审计流程

1、从plugin.xml 读取功能类及相关介绍描述

2、功能类继承IDEA 相关API,例如代码审计需继承

查看功能类

image-20210218140335655.png

进入BaseSQLi,这个类是检测SQL注入的一些前置条件,可以通过里面的 *** 来检测sql语句是否满足这些条件
image-20210218140424887.png

进入MomoBaseLocalInspectionTool后2个父类就是LocalInspectionTool
image-20210218140556873.png

3、功能类遍历正在浏览/编辑的java文件,利用我们重写的功能类 *** 匹配来发现有问题代码

4、将问题代码高亮显示,并提供问题详情和修复建议

image-20210218140700519.png

5、使用ALT + ENTER 自动修复
image-20210218140719383.png

修复后代码样例

image-20210218140804568.png

2.4 拼接SQL注入代码审计

下面是漏洞代码

下面是功能类

变量

如果匹配了代码审计规则,就会代码高亮,并显示问题msg

变量

如果有修复方案,ALT + ENTER会显示修复 msg

变量
修复建议提示名称(alt + enter后的名称)和帮助提示
image.png

*** 是用来访问PSI 文件的一个父类 *** ,返回PSI element,所有审计代码都在重写这个 *** 。

就是当前查看/编辑文件对象,也就是 LocalInspection类的实例,通过 *** 里面的rule来找到有问题的代码段后返回。
image-20210218152344246.png

PSI 元素中拼接的String(拼接的必须带变量) ,约定元素名为: PsiPolyadicExpression
image-20210218154558432.png

所以重写的 *** 为:来寻找拼接SQLi
image-20210218154714334.png

中的局部变量List exps是MoExpressionUtils类的实例,将拼接语句split 后分为3段,保存进 list。
image-20210218165620128.png

是exps利用stream() *** 将list 元素转换为 string
image-20210218172301732.png

①判断转换后的expstr是否是sql 语句,如果是sql 格式,②则再判断 exps LIST中的元素type是否为String,如果是则将String s append 进入 StringBuilder *** 中,通过for循环最终将 *** 添加到List sql_segments中。如果segments为空则idea告警为(字符串拼接有多种方式String.format也可以拼接),否则为拼接型SQLi

image-20210220094215167.png

①判断代码 BaseSQLi.java

②判断代码先判断是否在定义的三个类型 type中
image-20210220094800389.png

使用PsiViewer来查看 exps的type类型
image-20210219185058696.png

对判断结果进行告警
image-20210219191013948.png
image-20210220095130608.png
image-20210220095113116.png

三、总结

本篇讲的是拼接型SQLI 审计讲解,陌陌安全代码中还判断了是否是占位符型的SQLi,其实是多余了,因为在重写的 *** 后,接收的expression 只有 PsiPolyadicExpression, 占位符SQL注入的类型是PsiMethodCallExpression。如有不对之处还请大家评论区帮忙更正,谢谢!我下一节讲占位符SQLi类型,请关注我,及时看到更新哦。
image-20210220102932847.png

相关文章

有办法查出领导微信已删聊天记录

当妈妈真的是很不容易,身兼多职,努力在做着“超人”,当妈以后才深刻体会父母的艰辛与不易,当妈妈不容易心情感慨,当妈不易的经典语录。 妈妈不容易心情感慨 女子本弱,为母则刚!真真切切看到了当妈妈的不...

外国黑客接单_如何找黑客查看老婆微信聊天记录-黑客找qq的视频下载

「外国黑客接单_如何找黑客查看老婆微信聊天记录-黑客找qq的视频下载」0x020100 SPI接口界说Spider(蜘蛛)——运用智能感应的网络爬虫,它能完好的枚举运用程序的内容和功用。...

参与网赌属于违法吗「单纯参与网赌会被拘留吗」

网络赌博是违法行为。建立赌博网站并接受投注的;建立赌博网站并提供给他人组织赌博的;为赌博网站担任代理并接受投注的;参与赌博网站利润分成的,属于刑法第三百零三条规定的“开设赌场”处三年以下有期徒刑、拘役...

做足“融”字 全国党媒视听融合发展学术研讨会在重庆召开

做足“融”字 全国党媒视听融合发展学术研讨会在重庆召开

10月26日,以“5G时代网络文化创新助力乡村扶贫”为主题的全国党媒视听融合发展学术研讨会在重庆邮电大学隆重召开。 重庆邮电大学党委副书记、教授游敏惠致欢迎词 由重庆邮电大学、重庆工业设计...

江南三大名楼是哪三个(江南三大名楼有关诗句)

江南三大名楼是哪三个(江南三大名楼有关诗句) 江南是指地理区域,也是指长江之南,在人文地理概念里特指长江中下游以南。在江南地区,有三大名楼,无论是古人,还是今人,都是非常向往江南三大名楼的,那么江南...

黑客接单追回被骗款是真的吗_腾讯黑客团队联系方式-找黑客做外挂

「黑客接单追回被骗款是真的吗_腾讯黑客团队联系方式-找黑客做外挂」运用方法: "com.sun.jndi.rmi.registry.RegistryContextFact...