Merge remote-tracking branch 'origin/master'

wuhaoyang
Guo XIn 10 months ago
commit 74b8403567
  1. 55
      sonar-keyware-plugins-cxx/src/main/java/com/keyware/sonar/cxx/rules/checkers/PassWordCountChecker.java
  2. 113
      sonar-keyware-plugins-cxx/src/main/java/com/keyware/sonar/cxx/rules/checkers/ReallocMainChecker.java
  3. 93
      sonar-keyware-plugins-cxx/src/main/java/com/keyware/sonar/cxx/rules/checkers/ValidatePasswordCheck.java
  4. 6
      sonar-keyware-plugins-cxx/src/main/java/org/sonar/cxx/parser/CxxGrammarImpl.java
  5. 34
      sonar-keyware-plugins-cxx/src/test/java/com/keyware/sonar/cxx/rules/checkers/PassWordCountCheckerTest.java
  6. 34
      sonar-keyware-plugins-cxx/src/test/java/com/keyware/sonar/cxx/rules/checkers/ReallocMainCheckerTest.java
  7. 28
      sonar-keyware-plugins-cxx/src/test/java/com/keyware/sonar/cxx/rules/checkers/ValidatePasswordCheckTest.java
  8. 10
      sonar-keyware-plugins-cxx/src/test/resources/com/keyware/sonar/cxx/rules/checkers/PassWordCountChecker.cc
  9. 22
      sonar-keyware-plugins-cxx/src/test/resources/com/keyware/sonar/cxx/rules/checkers/ReallocMainChecker.cc
  10. 7
      sonar-keyware-plugins-cxx/src/test/resources/com/keyware/sonar/cxx/rules/checkers/ValidatePasswordCheck.cc

@ -0,0 +1,55 @@
/*
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
* 项目名称C++ 信息安全性设计准则
* 项目描述用于检查C++源代码的安全性设计准则的Sonarqube插件
* 版权说明本软件属北京关键科技股份有限公司所有在未获得北京关键科技股份有限公司正式授权情况下任何企业和个人不能获取阅读安装传播本软件涉及的任何受知识产权保护的内容
*/
package com.keyware.sonar.cxx.rules.checkers;
import com.sonar.cxx.sslr.api.AstNode;
import com.sonar.cxx.sslr.api.Grammar;
import org.sonar.check.Priority;
import org.sonar.check.Rule;
import org.sonar.cxx.parser.CxxGrammarImpl;
import org.sonar.cxx.squidbridge.annotations.ActivatedByDefault;
import org.sonar.cxx.squidbridge.annotations.SqaleConstantRemediation;
import org.sonar.cxx.squidbridge.checks.SquidCheck;
import java.util.List;
/**
* TODO PassWordCountChecker
*
* @author RenFengJiang
* @date 2024/1/13
*/
@Rule(key = "PassWordCountChecker", name = "使用盐值计算散列值", description = "使用盐值计算散列值,增加攻击者破解口令的难度", priority = Priority.INFO, tags = {"28suo"})
@ActivatedByDefault
@SqaleConstantRemediation("5min")
public class PassWordCountChecker extends SquidCheck<Grammar> {
@Override
public void init() {
// 订阅要检查AST节点类型,用于在visitNode方法中检查该类型节点
this.subscribeTo(
CxxGrammarImpl.simpleDeclaration
);
}
/**
* 检查AST节点
*
* @param astNode 要处理的AST节点该节点类型为通过subscribeTo方法订阅的类型
*/
@Override
public void visitNode(AstNode astNode) {
List<AstNode> descendants = astNode.getDescendants(CxxGrammarImpl.templateName);
for (AstNode desc:descendants) {
String value = desc.getToken().getValue();
if("hash".equals(value)){
getContext().createLineViolation(this, "使用盐值计算散列值", desc);
}
}
}
}

@ -0,0 +1,113 @@
/*
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
* 项目名称C++ 信息安全性设计准则
* 项目描述用于检查C++源代码的安全性设计准则的Sonarqube插件
* 版权说明本软件属北京关键科技股份有限公司所有在未获得北京关键科技股份有限公司正式授权情况下任何企业和个人不能获取阅读安装传播本软件涉及的任何受知识产权保护的内容
*/
package com.keyware.sonar.cxx.rules.checkers;
import com.sonar.cxx.sslr.api.AstNode;
import com.sonar.cxx.sslr.api.Grammar;
import org.sonar.check.Priority;
import org.sonar.check.Rule;
import org.sonar.cxx.parser.CxxGrammarImpl;
import org.sonar.cxx.squidbridge.annotations.ActivatedByDefault;
import org.sonar.cxx.squidbridge.annotations.SqaleConstantRemediation;
import org.sonar.cxx.squidbridge.checks.SquidCheck;
import java.util.ArrayList;
import java.util.List;
/**
* TODO ReallocMainChecker
*
* @author RenFengJiang
* @date 2024/1/13
*/
@Rule(key = "ReallocMainChecker", name = "使用realloc函数前应先清楚敏感信息", description = "使用realloc()函数前先清空该内存块中的敏感信息", priority = Priority.INFO, tags = {"28suo"})
@ActivatedByDefault
@SqaleConstantRemediation("5min")
public class ReallocMainChecker extends SquidCheck<Grammar> {
@Override
public void init() {
// 订阅要检查AST节点类型,用于在visitNode方法中检查该类型节点
this.subscribeTo(
CxxGrammarImpl.expression
);
}
private List<String> lists = new ArrayList();
/**
* 检查AST节点
*
* @param astNode 要处理的AST节点该节点类型为通过subscribeTo方法订阅的类型
*/
@Override
public void visitNode(AstNode astNode) {
//判断是否是memset方法调用
if("memset".equals(astNode.getToken().getValue())){
//获取到此 方法调用中的参数列表
List<AstNode> listAsts = astNode.getDescendants(CxxGrammarImpl.expressionList);
for (AstNode listAst :listAsts) {
//将此参数列表存入list中
lists.add(listAst.getToken().getValue());
}
}
List<AstNode> astNodeDescendants = astNode.getDescendants(CxxGrammarImpl.postfixExpression);
for (AstNode ast :astNodeDescendants) {
//判断是不是realloc方法调用
if("realloc".equals(ast.getToken().getValue())){
//获取到参数列表
List<AstNode> astNodes = ast.getDescendants(CxxGrammarImpl.expressionList);
for (AstNode as:astNodes) {
//获取到参数
String name = as.getToken().getValue();
//判断参数是否存在在集合中
if(!lists.contains(name)){
getContext().createLineViolation(this,"使用realloc函数前应先清楚敏感信息",as);
}
}
}
}
}
// class IfChildren extends SquidCheck<Grammar>{
// private final String name ;
// private boolean boo = true;
//
// IfChildren(String name){
// this.name = name;
// }
//
// @Override
// public void init() {
// // 订阅要检查AST节点类型,用于在visitNode方法中检查该类型节点
// this.subscribeTo(
// CxxGrammarImpl.expression
// );
// }
// @Override
// public void visitNode(AstNode astNode) {
//
// List<AstNode> astNodes = astNode.getDescendants(CxxGrammarImpl.expressionStatement);
// for (AstNode as :astNodes) {
// if("memset".equals(as.getToken().getValue())){
// List<AstNode> descendants = astNode.getDescendants(CxxGrammarImpl.expressionList);
// for (AstNode ast :descendants) {
// if(name.equals(ast.getToken().getValue())){
// boo = false;
// }
// }
// }
// }
//
// List<AstNode> descendants = astNode.getDescendants(CxxGrammarImpl.postfixExpression);
// for (AstNode ast :descendants) {
// if(name.equals(ast.getToken().getValue())){
// boo = false;
// }
// }
// }
//
// }
}

@ -0,0 +1,93 @@
/*
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
* 项目名称C++ 信息安全性设计准则
* 项目描述用于检查C++源代码的安全性设计准则的Sonarqube插件
* 版权说明本软件属北京关键科技股份有限公司所有在未获得北京关键科技股份有限公司正式授权情况下任何企业和个人不能获取阅读安装传播本软件涉及的任何受知识产权保护的内容
*/
package com.keyware.sonar.cxx.rules.checkers;
import com.sonar.cxx.sslr.api.AstNode;
import com.sonar.cxx.sslr.api.Grammar;
import org.sonar.check.Priority;
import org.sonar.check.Rule;
import org.sonar.cxx.parser.CxxGrammarImpl;
import org.sonar.cxx.squidbridge.annotations.ActivatedByDefault;
import org.sonar.cxx.squidbridge.annotations.SqaleConstantRemediation;
import org.sonar.cxx.squidbridge.checks.SquidCheck;
import java.util.List;
/**
* 检查口令长度不少于10位且至少包含特殊字符大写小写数字中的3种
*
* @author WuHaoYang
* @date 2024/1/13
*/
@Rule(key = "ValidatePasswordCheck", name = "口令不匹配足够复杂度", description = "口令不匹配足够复杂度", priority = Priority.INFO, tags = {"28suo"})
@ActivatedByDefault
@SqaleConstantRemediation("5min")
public class ValidatePasswordCheck extends SquidCheck<Grammar> {
private static final String passwordRegex = "^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)(?=.*[@#$%^&+=!]).{10,}$";
@Override
public void init() {
subscribeTo(CxxGrammarImpl.functionDefinition);
}
@Override
public void visitNode(AstNode astNode) {
AstNode functionNameNode = astNode.getFirstDescendant(CxxGrammarImpl.declaratorId);
String functionName = functionNameNode.getTokenOriginalValue();
//检查函数是否为main
if ("main".equals(functionName)) {
checkPasswordValidationInMain(astNode);
}
}
private void checkPasswordValidationInMain(AstNode mainFunctionNode) {
AstNode compoundStatement = mainFunctionNode.getFirstDescendant(CxxGrammarImpl.compoundStatement);
if (compoundStatement != null) {
List<AstNode> declarations = compoundStatement.getDescendants(CxxGrammarImpl.initDeclarator);
for (AstNode initDeclarator : declarations) {
AstNode declaratorId = initDeclarator.getFirstDescendant(CxxGrammarImpl.declaratorId);
if (declaratorId != null) {
String variableName = declaratorId.getTokenOriginalValue();
// 检查变量是否命名为password
if ("password".equalsIgnoreCase(variableName)) {
checkPasswordInitialization(initDeclarator);
}
}
}
}
}
private void checkPasswordInitialization(AstNode declaration) {
AstNode initializer = declaration.getFirstDescendant(CxxGrammarImpl.initializer);
if (initializer != null) {
// 获取初始化值的子节点
AstNode initializationValue = initializer.getLastChild();
if (initializationValue != null) {
String passwordValue = initializationValue.getTokenOriginalValue();
if (!passwordValue.matches(passwordRegex)) {
System.out.println("未通过正则校验的口令:"+passwordValue);
getContext().createLineViolation(this, "口令不匹配足够复杂度", initializationValue);
}
}
}
}
}

@ -1,3 +1,9 @@
/*
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
* 项目名称C++ 信息安全性设计准则
* 项目描述用于检查C++源代码的安全性设计准则的Sonarqube插件
* 版权说明本软件属北京关键科技股份有限公司所有在未获得北京关键科技股份有限公司正式授权情况下任何企业和个人不能获取阅读安装传播本软件涉及的任何受知识产权保护的内容
*/
package org.sonar.cxx.parser; package org.sonar.cxx.parser;
import static com.sonar.cxx.sslr.api.GenericTokenType.EOF; import static com.sonar.cxx.sslr.api.GenericTokenType.EOF;

@ -0,0 +1,34 @@
/*
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
* 项目名称C++ 信息安全性设计准则
* 项目描述用于检查C++源代码的安全性设计准则的Sonarqube插件
* 版权说明本软件属北京关键科技股份有限公司所有在未获得北京关键科技股份有限公司正式授权情况下任何企业和个人不能获取阅读安装传播本软件涉及的任何受知识产权保护的内容
*/
package com.keyware.sonar.cxx.rules.checkers;
import com.keyware.sonar.cxx.CxxFileTesterHelper;
import org.junit.jupiter.api.Test;
import org.sonar.cxx.CxxAstScanner;
import org.sonar.cxx.squidbridge.api.SourceFile;
import org.sonar.cxx.squidbridge.checks.CheckMessagesVerifier;
import java.io.IOException;
/**
* TODO PassWordCountCheckerTest
*
* @author RenFengJiang
* @date 2024/1/13
*/
public class PassWordCountCheckerTest {
@Test
public void checkTest() throws IOException {
var checker = new PassWordCountChecker();
var tester = CxxFileTesterHelper.create("PassWordCountChecker.cc");
SourceFile file = CxxAstScanner.scanSingleInputFile(tester.asInputFile(), checker);
CheckMessagesVerifier.verify(file.getCheckMessages())
.next().atLine(5).withMessage("使用盐值计算散列值")
.noMore();
}
}

@ -0,0 +1,34 @@
/*
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
* 项目名称C++ 信息安全性设计准则
* 项目描述用于检查C++源代码的安全性设计准则的Sonarqube插件
* 版权说明本软件属北京关键科技股份有限公司所有在未获得北京关键科技股份有限公司正式授权情况下任何企业和个人不能获取阅读安装传播本软件涉及的任何受知识产权保护的内容
*/
package com.keyware.sonar.cxx.rules.checkers;
import com.keyware.sonar.cxx.CxxFileTesterHelper;
import org.junit.jupiter.api.Test;
import org.sonar.cxx.CxxAstScanner;
import org.sonar.cxx.squidbridge.api.SourceFile;
import org.sonar.cxx.squidbridge.checks.CheckMessagesVerifier;
import java.io.IOException;
/**
* TODO ReallocMainCheckerTest
*
* @author RenFengJiang
* @date 2024/1/13
*/
public class ReallocMainCheckerTest {
@Test
public void checkTest() throws IOException {
var checker = new ReallocMainChecker();
var tester = CxxFileTesterHelper.create("ReallocMainChecker.cc");
SourceFile file = CxxAstScanner.scanSingleInputFile(tester.asInputFile(), checker);
CheckMessagesVerifier.verify(file.getCheckMessages())
.next().atLine(14).withMessage("使用realloc函数前应先清楚敏感信息")
.noMore();
}
}

@ -0,0 +1,28 @@
/*
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
* 项目名称C++ 信息安全性设计准则
* 项目描述用于检查C++源代码的安全性设计准则的Sonarqube插件
* 版权说明本软件属北京关键科技股份有限公司所有在未获得北京关键科技股份有限公司正式授权情况下任何企业和个人不能获取阅读安装传播本软件涉及的任何受知识产权保护的内容
*/
package com.keyware.sonar.cxx.rules.checkers;
import com.keyware.sonar.cxx.CxxFileTesterHelper;
import org.junit.jupiter.api.Test;
import org.sonar.cxx.CxxAstScanner;
import org.sonar.cxx.squidbridge.api.SourceFile;
import org.sonar.cxx.squidbridge.checks.CheckMessagesVerifier;
import java.io.IOException;
public class ValidatePasswordCheckTest {
@Test
public void checkTest() throws IOException {
var checker = new ValidatePasswordCheck();
var tester = CxxFileTesterHelper.create("ValidatePasswordCheck.cc");
SourceFile file = CxxAstScanner.scanSingleInputFile(tester.asInputFile(), checker);
CheckMessagesVerifier.verify(file.getCheckMessages())
.next().atLine(5).withMessage("口令不匹配足够复杂度")
.noMore();
}
}

@ -0,0 +1,10 @@
int main() {
std::string input = "example";
// 使用std::hash
std::hash<std::string> hasher ; // error
size_t hash_value = hasher(input);
std::cout << "Hash value using std::hash: " << hash_value << std::endl;
return 0;
}

@ -0,0 +1,22 @@
struct User {
char name[50];
int age;
};
int main() {
// 假设有一个使用者结构体需要重新分配内存
// User* users = (User*)malloc(5 * sizeof(User));
// 在使用realloc()函数重新分配内存块之前,先清空使用者信息
// memset(users, 0, 5 * sizeof(User));
// 使用realloc()函数重新分配内存块
users = (User*)realloc(users, 10 * sizeof(User));//error
// 继续使用重新分配后的内存块...
// 最后释放内存
// free(users);
return 0;
}

@ -0,0 +1,7 @@
#include <string>
using namespace std;
int main() {
string password = "1111111111"; // error
return 0;
}
Loading…
Cancel
Save