feat: 新增QLExpress组件检测时判断安全配置是否开启

UzJu · UzJu · commit 0bd0d5f5c63d · 2023-10-24T16:29:06.000+08:00
diff --git a/dongtai-core/src/main/java/io/dongtai/iast/core/bytecode/IastClassFileTransformer.java b/dongtai-core/src/main/java/io/dongtai/iast/core/bytecode/IastClassFileTransformer.java
@@ -10,6 +10,7 @@
 import io.dongtai.iast.core.handler.hookpoint.SpyDispatcherImpl;
 import io.dongtai.iast.core.handler.hookpoint.models.policy.PolicyManager;
 import io.dongtai.iast.core.handler.hookpoint.vulscan.dynamic.FastjsonCheck;
+import io.dongtai.iast.core.handler.hookpoint.vulscan.dynamic.QLExpressCheck;
 import io.dongtai.iast.core.utils.AsmUtils;
 import io.dongtai.iast.core.utils.PropertyUtils;
 import io.dongtai.iast.core.utils.matcher.ConfigMatcher;
@@ -145,7 +146,9 @@ public byte[] transform(final ClassLoader loader,
 
         try {
             ScopeManager.SCOPE_TRACKER.getPolicyScope().enterAgent();
-
+            if (" com/ql/util/express/config/QLExpressRunStrategy".substring(1).equals(internalClassName)){
+                QLExpressCheck.setQLClassLoader(loader);
+            }
             if (" com/alibaba/fastjson/JSON".substring(1).equals(internalClassName)) {
                 FastjsonCheck.setJsonClassLoader(loader);
             } else if (" com/alibaba/fastjson/parser/ParserConfig".substring(1).equals(internalClassName)) {
diff --git a/dongtai-core/src/main/java/io/dongtai/iast/core/handler/hookpoint/vulscan/dynamic/DynamicPropagatorScanner.java b/dongtai-core/src/main/java/io/dongtai/iast/core/handler/hookpoint/vulscan/dynamic/DynamicPropagatorScanner.java
@@ -25,7 +25,8 @@
 public class DynamicPropagatorScanner implements IVulScan {
     private final static Set<SinkSafeChecker> SAFE_CHECKERS = new HashSet<>(Arrays.asList(
             new FastjsonCheck(),
-            new XXECheck()
+            new XXECheck(),
+            new QLExpressCheck()
     ));
 
     private final static Set<SinkSourceChecker> SOURCE_CHECKERS = new HashSet<>(Arrays.asList(
diff --git a/dongtai-core/src/main/java/io/dongtai/iast/core/handler/hookpoint/vulscan/dynamic/QLExpressCheck.java b/dongtai-core/src/main/java/io/dongtai/iast/core/handler/hookpoint/vulscan/dynamic/QLExpressCheck.java
@@ -0,0 +1,70 @@
+package io.dongtai.iast.core.handler.hookpoint.vulscan.dynamic;
+
+import io.dongtai.iast.core.handler.hookpoint.models.MethodEvent;
+import io.dongtai.iast.core.handler.hookpoint.models.policy.SignatureMethodMatcher;
+import io.dongtai.iast.core.handler.hookpoint.models.policy.SinkNode;
+import io.dongtai.log.DongTaiLog;
+
+import java.lang.reflect.Field;
+import java.lang.reflect.Modifier;
+import java.util.Arrays;
+import java.util.List;
+
+/**
+ * @author UzJu
+ * @date 2023/10/24 16:02
+ * @Site UzzJu.com
+ * @Comment :)
+ */
+
+public class QLExpressCheck implements SinkSafeChecker {
+    public static List<String> QLExpress_SINK_METHODS = Arrays.asList(
+            " com.ql.util.express.ExpressRunner.parseInstructionSet(java.lang.String)".substring(1)
+    );
+    private String policySignature;
+    private static ClassLoader QL_CLASS_LOADER;
+
+    @Override
+    public boolean match(MethodEvent event, SinkNode sinkNode) {
+        if (sinkNode.getMethodMatcher() instanceof SignatureMethodMatcher) {
+            this.policySignature = ((SignatureMethodMatcher) sinkNode.getMethodMatcher()).getSignature().toString();
+        }
+
+        return QLExpress_SINK_METHODS.contains(this.policySignature);
+    }
+
+    @Override
+    public boolean isSafe(MethodEvent event, SinkNode sinkNode){
+        /**
+         * Die QLExpress-Komponente bietet die Konfigurationsfunktion forbidInvokeSecurityRiskMethods, um die Erkennung von schwarzen Listen zu ermöglichen. Daher muss zusätzlich zur Bestimmung des Senkenpunkts auch festgestellt werden, ob der Benutzer diese Konfiguration aktiviert hat.
+         * Wenn diese Konfiguration aktiviert ist, werden Sie beim Aufruf einer auf der schwarzen Liste stehenden Klasse aufgefordert: com.ql.util.express.exception.QLSecurityRiskException: Eine unsichere Systemmethode wurde mit QLExpress aufgerufen: public java.lang.Process java. lang.Runtime.exec(java.lang.String) throws java.io.IOException
+         * */
+        DongTaiLog.debug("Start der Ermittlung, ob das Feld forbidInvokeSecurityRiskMethods der QLExpress-Komponente wahr ist oder nicht");
+        try {
+            Class<?> cls;
+            if (QL_CLASS_LOADER == null){
+                cls = Class.forName(" com.ql.util.express.config.QLExpressRunStrategy".substring(1));
+            }else {
+                cls = Class.forName(" com.ql.util.express.config.QLExpressRunStrategy".substring(1), false, QL_CLASS_LOADER);
+            }
+            Field field = cls.getDeclaredField("forbidInvokeSecurityRiskMethods");
+            if (Modifier.isStatic(field.getModifiers()) && Modifier.isPrivate(field.getModifiers())) {
+                field.setAccessible(true);
+                boolean value = field.getBoolean(null);
+                DongTaiLog.debug("forbidInvokeSecurityRiskMethods = " + value);
+                return value;
+            } else {
+                DongTaiLog.debug("Field is not static and private.");
+                return true;
+            }
+        }catch (Throwable e){
+            DongTaiLog.debug("Beim Abrufen der Felder der QLExpress-Komponente ist ein Fehler aufgetreten.: {}, {}",
+                    e.getClass().getName() + ": " + e.getMessage(),
+                    e.getCause() != null ? e.getCause().getMessage() : "");
+             return true;
+        }
+    }
+    public static void setQLClassLoader(ClassLoader qlClassLoader) {
+        QL_CLASS_LOADER = qlClassLoader;
+    }
+}
