commit
74b8403567
@ -0,0 +1,55 @@ |
||||
/* |
||||
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||
* 项目名称:C++ 信息安全性设计准则 |
||||
* 项目描述:用于检查C++源代码的安全性设计准则的Sonarqube插件 |
||||
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||
*/ |
||||
package com.keyware.sonar.cxx.rules.checkers; |
||||
|
||||
import com.sonar.cxx.sslr.api.AstNode; |
||||
import com.sonar.cxx.sslr.api.Grammar; |
||||
import org.sonar.check.Priority; |
||||
import org.sonar.check.Rule; |
||||
import org.sonar.cxx.parser.CxxGrammarImpl; |
||||
import org.sonar.cxx.squidbridge.annotations.ActivatedByDefault; |
||||
import org.sonar.cxx.squidbridge.annotations.SqaleConstantRemediation; |
||||
import org.sonar.cxx.squidbridge.checks.SquidCheck; |
||||
|
||||
import java.util.List; |
||||
|
||||
/** |
||||
* TODO PassWordCountChecker |
||||
* |
||||
* @author RenFengJiang |
||||
* @date 2024/1/13 |
||||
*/ |
||||
@Rule(key = "PassWordCountChecker", name = "使用盐值计算散列值", description = "使用盐值计算散列值,增加攻击者破解口令的难度", priority = Priority.INFO, tags = {"28suo"}) |
||||
@ActivatedByDefault |
||||
@SqaleConstantRemediation("5min") |
||||
public class PassWordCountChecker extends SquidCheck<Grammar> { |
||||
|
||||
@Override |
||||
public void init() { |
||||
// 订阅要检查AST节点类型,用于在visitNode方法中检查该类型节点
|
||||
this.subscribeTo( |
||||
CxxGrammarImpl.simpleDeclaration |
||||
); |
||||
} |
||||
|
||||
|
||||
/** |
||||
* 检查AST节点 |
||||
* |
||||
* @param astNode 要处理的AST节点,该节点类型为通过subscribeTo方法订阅的类型 |
||||
*/ |
||||
@Override |
||||
public void visitNode(AstNode astNode) { |
||||
List<AstNode> descendants = astNode.getDescendants(CxxGrammarImpl.templateName); |
||||
for (AstNode desc:descendants) { |
||||
String value = desc.getToken().getValue(); |
||||
if("hash".equals(value)){ |
||||
getContext().createLineViolation(this, "使用盐值计算散列值", desc); |
||||
} |
||||
} |
||||
} |
||||
} |
@ -0,0 +1,113 @@ |
||||
/* |
||||
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||
* 项目名称:C++ 信息安全性设计准则 |
||||
* 项目描述:用于检查C++源代码的安全性设计准则的Sonarqube插件 |
||||
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||
*/ |
||||
package com.keyware.sonar.cxx.rules.checkers; |
||||
|
||||
import com.sonar.cxx.sslr.api.AstNode; |
||||
import com.sonar.cxx.sslr.api.Grammar; |
||||
import org.sonar.check.Priority; |
||||
import org.sonar.check.Rule; |
||||
import org.sonar.cxx.parser.CxxGrammarImpl; |
||||
import org.sonar.cxx.squidbridge.annotations.ActivatedByDefault; |
||||
import org.sonar.cxx.squidbridge.annotations.SqaleConstantRemediation; |
||||
import org.sonar.cxx.squidbridge.checks.SquidCheck; |
||||
|
||||
import java.util.ArrayList; |
||||
import java.util.List; |
||||
|
||||
/** |
||||
* TODO ReallocMainChecker |
||||
* |
||||
* @author RenFengJiang |
||||
* @date 2024/1/13 |
||||
*/ |
||||
@Rule(key = "ReallocMainChecker", name = "使用realloc函数前应先清楚敏感信息", description = "使用realloc()函数前先清空该内存块中的敏感信息", priority = Priority.INFO, tags = {"28suo"}) |
||||
@ActivatedByDefault |
||||
@SqaleConstantRemediation("5min") |
||||
public class ReallocMainChecker extends SquidCheck<Grammar> { |
||||
|
||||
@Override |
||||
public void init() { |
||||
// 订阅要检查AST节点类型,用于在visitNode方法中检查该类型节点
|
||||
this.subscribeTo( |
||||
CxxGrammarImpl.expression |
||||
); |
||||
} |
||||
|
||||
private List<String> lists = new ArrayList(); |
||||
/** |
||||
* 检查AST节点 |
||||
* |
||||
* @param astNode 要处理的AST节点,该节点类型为通过subscribeTo方法订阅的类型 |
||||
*/ |
||||
@Override |
||||
public void visitNode(AstNode astNode) { |
||||
//判断是否是memset方法调用
|
||||
if("memset".equals(astNode.getToken().getValue())){ |
||||
//获取到此 方法调用中的参数列表
|
||||
List<AstNode> listAsts = astNode.getDescendants(CxxGrammarImpl.expressionList); |
||||
for (AstNode listAst :listAsts) { |
||||
//将此参数列表存入list中
|
||||
lists.add(listAst.getToken().getValue()); |
||||
} |
||||
} |
||||
List<AstNode> astNodeDescendants = astNode.getDescendants(CxxGrammarImpl.postfixExpression); |
||||
for (AstNode ast :astNodeDescendants) { |
||||
//判断是不是realloc方法调用
|
||||
if("realloc".equals(ast.getToken().getValue())){ |
||||
//获取到参数列表
|
||||
List<AstNode> astNodes = ast.getDescendants(CxxGrammarImpl.expressionList); |
||||
for (AstNode as:astNodes) { |
||||
//获取到参数
|
||||
String name = as.getToken().getValue(); |
||||
//判断参数是否存在在集合中
|
||||
if(!lists.contains(name)){ |
||||
getContext().createLineViolation(this,"使用realloc函数前应先清楚敏感信息",as); |
||||
} |
||||
} |
||||
} |
||||
} |
||||
} |
||||
// class IfChildren extends SquidCheck<Grammar>{
|
||||
// private final String name ;
|
||||
// private boolean boo = true;
|
||||
//
|
||||
// IfChildren(String name){
|
||||
// this.name = name;
|
||||
// }
|
||||
//
|
||||
// @Override
|
||||
// public void init() {
|
||||
// // 订阅要检查AST节点类型,用于在visitNode方法中检查该类型节点
|
||||
// this.subscribeTo(
|
||||
// CxxGrammarImpl.expression
|
||||
// );
|
||||
// }
|
||||
// @Override
|
||||
// public void visitNode(AstNode astNode) {
|
||||
//
|
||||
// List<AstNode> astNodes = astNode.getDescendants(CxxGrammarImpl.expressionStatement);
|
||||
// for (AstNode as :astNodes) {
|
||||
// if("memset".equals(as.getToken().getValue())){
|
||||
// List<AstNode> descendants = astNode.getDescendants(CxxGrammarImpl.expressionList);
|
||||
// for (AstNode ast :descendants) {
|
||||
// if(name.equals(ast.getToken().getValue())){
|
||||
// boo = false;
|
||||
// }
|
||||
// }
|
||||
// }
|
||||
// }
|
||||
//
|
||||
// List<AstNode> descendants = astNode.getDescendants(CxxGrammarImpl.postfixExpression);
|
||||
// for (AstNode ast :descendants) {
|
||||
// if(name.equals(ast.getToken().getValue())){
|
||||
// boo = false;
|
||||
// }
|
||||
// }
|
||||
// }
|
||||
//
|
||||
// }
|
||||
} |
@ -0,0 +1,93 @@ |
||||
/* |
||||
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||
* 项目名称:C++ 信息安全性设计准则 |
||||
* 项目描述:用于检查C++源代码的安全性设计准则的Sonarqube插件 |
||||
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||
*/ |
||||
package com.keyware.sonar.cxx.rules.checkers; |
||||
|
||||
import com.sonar.cxx.sslr.api.AstNode; |
||||
import com.sonar.cxx.sslr.api.Grammar; |
||||
import org.sonar.check.Priority; |
||||
import org.sonar.check.Rule; |
||||
import org.sonar.cxx.parser.CxxGrammarImpl; |
||||
import org.sonar.cxx.squidbridge.annotations.ActivatedByDefault; |
||||
import org.sonar.cxx.squidbridge.annotations.SqaleConstantRemediation; |
||||
import org.sonar.cxx.squidbridge.checks.SquidCheck; |
||||
|
||||
import java.util.List; |
||||
|
||||
/** |
||||
* 检查口令长度不少于10位,且至少包含特殊字符、大写、小写、数字中的3种, |
||||
* |
||||
* @author WuHaoYang |
||||
* @date 2024/1/13 |
||||
*/ |
||||
@Rule(key = "ValidatePasswordCheck", name = "口令不匹配足够复杂度", description = "口令不匹配足够复杂度", priority = Priority.INFO, tags = {"28suo"}) |
||||
@ActivatedByDefault |
||||
@SqaleConstantRemediation("5min") |
||||
public class ValidatePasswordCheck extends SquidCheck<Grammar> { |
||||
|
||||
|
||||
private static final String passwordRegex = "^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)(?=.*[@#$%^&+=!]).{10,}$"; |
||||
|
||||
@Override |
||||
public void init() { |
||||
subscribeTo(CxxGrammarImpl.functionDefinition); |
||||
} |
||||
|
||||
@Override |
||||
public void visitNode(AstNode astNode) { |
||||
|
||||
AstNode functionNameNode = astNode.getFirstDescendant(CxxGrammarImpl.declaratorId); |
||||
String functionName = functionNameNode.getTokenOriginalValue(); |
||||
|
||||
//检查函数是否为main
|
||||
if ("main".equals(functionName)) { |
||||
checkPasswordValidationInMain(astNode); |
||||
} |
||||
} |
||||
|
||||
private void checkPasswordValidationInMain(AstNode mainFunctionNode) { |
||||
AstNode compoundStatement = mainFunctionNode.getFirstDescendant(CxxGrammarImpl.compoundStatement); |
||||
|
||||
if (compoundStatement != null) { |
||||
List<AstNode> declarations = compoundStatement.getDescendants(CxxGrammarImpl.initDeclarator); |
||||
|
||||
for (AstNode initDeclarator : declarations) { |
||||
AstNode declaratorId = initDeclarator.getFirstDescendant(CxxGrammarImpl.declaratorId); |
||||
|
||||
if (declaratorId != null) { |
||||
String variableName = declaratorId.getTokenOriginalValue(); |
||||
|
||||
// 检查变量是否命名为password
|
||||
if ("password".equalsIgnoreCase(variableName)) { |
||||
checkPasswordInitialization(initDeclarator); |
||||
} |
||||
} |
||||
} |
||||
} |
||||
} |
||||
|
||||
private void checkPasswordInitialization(AstNode declaration) { |
||||
AstNode initializer = declaration.getFirstDescendant(CxxGrammarImpl.initializer); |
||||
|
||||
if (initializer != null) { |
||||
|
||||
// 获取初始化值的子节点
|
||||
AstNode initializationValue = initializer.getLastChild(); |
||||
|
||||
if (initializationValue != null) { |
||||
|
||||
String passwordValue = initializationValue.getTokenOriginalValue(); |
||||
|
||||
if (!passwordValue.matches(passwordRegex)) { |
||||
System.out.println("未通过正则校验的口令:"+passwordValue); |
||||
getContext().createLineViolation(this, "口令不匹配足够复杂度", initializationValue); |
||||
} |
||||
} |
||||
} |
||||
} |
||||
|
||||
|
||||
} |
@ -0,0 +1,34 @@ |
||||
/* |
||||
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||
* 项目名称:C++ 信息安全性设计准则 |
||||
* 项目描述:用于检查C++源代码的安全性设计准则的Sonarqube插件 |
||||
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||
*/ |
||||
package com.keyware.sonar.cxx.rules.checkers; |
||||
|
||||
import com.keyware.sonar.cxx.CxxFileTesterHelper; |
||||
import org.junit.jupiter.api.Test; |
||||
import org.sonar.cxx.CxxAstScanner; |
||||
import org.sonar.cxx.squidbridge.api.SourceFile; |
||||
import org.sonar.cxx.squidbridge.checks.CheckMessagesVerifier; |
||||
|
||||
import java.io.IOException; |
||||
|
||||
/** |
||||
* TODO PassWordCountCheckerTest |
||||
* |
||||
* @author RenFengJiang |
||||
* @date 2024/1/13 |
||||
*/ |
||||
public class PassWordCountCheckerTest { |
||||
|
||||
@Test |
||||
public void checkTest() throws IOException { |
||||
var checker = new PassWordCountChecker(); |
||||
var tester = CxxFileTesterHelper.create("PassWordCountChecker.cc"); |
||||
SourceFile file = CxxAstScanner.scanSingleInputFile(tester.asInputFile(), checker); |
||||
CheckMessagesVerifier.verify(file.getCheckMessages()) |
||||
.next().atLine(5).withMessage("使用盐值计算散列值") |
||||
.noMore(); |
||||
} |
||||
} |
@ -0,0 +1,34 @@ |
||||
/* |
||||
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||
* 项目名称:C++ 信息安全性设计准则 |
||||
* 项目描述:用于检查C++源代码的安全性设计准则的Sonarqube插件 |
||||
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||
*/ |
||||
package com.keyware.sonar.cxx.rules.checkers; |
||||
|
||||
import com.keyware.sonar.cxx.CxxFileTesterHelper; |
||||
import org.junit.jupiter.api.Test; |
||||
import org.sonar.cxx.CxxAstScanner; |
||||
import org.sonar.cxx.squidbridge.api.SourceFile; |
||||
import org.sonar.cxx.squidbridge.checks.CheckMessagesVerifier; |
||||
|
||||
import java.io.IOException; |
||||
|
||||
/** |
||||
* TODO ReallocMainCheckerTest |
||||
* |
||||
* @author RenFengJiang |
||||
* @date 2024/1/13 |
||||
*/ |
||||
public class ReallocMainCheckerTest { |
||||
@Test |
||||
public void checkTest() throws IOException { |
||||
var checker = new ReallocMainChecker(); |
||||
var tester = CxxFileTesterHelper.create("ReallocMainChecker.cc"); |
||||
SourceFile file = CxxAstScanner.scanSingleInputFile(tester.asInputFile(), checker); |
||||
CheckMessagesVerifier.verify(file.getCheckMessages()) |
||||
.next().atLine(14).withMessage("使用realloc函数前应先清楚敏感信息") |
||||
.noMore(); |
||||
} |
||||
|
||||
} |
@ -0,0 +1,28 @@ |
||||
/* |
||||
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||
* 项目名称:C++ 信息安全性设计准则 |
||||
* 项目描述:用于检查C++源代码的安全性设计准则的Sonarqube插件 |
||||
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||
*/ |
||||
package com.keyware.sonar.cxx.rules.checkers; |
||||
|
||||
import com.keyware.sonar.cxx.CxxFileTesterHelper; |
||||
import org.junit.jupiter.api.Test; |
||||
import org.sonar.cxx.CxxAstScanner; |
||||
import org.sonar.cxx.squidbridge.api.SourceFile; |
||||
import org.sonar.cxx.squidbridge.checks.CheckMessagesVerifier; |
||||
|
||||
import java.io.IOException; |
||||
|
||||
public class ValidatePasswordCheckTest { |
||||
|
||||
@Test |
||||
public void checkTest() throws IOException { |
||||
var checker = new ValidatePasswordCheck(); |
||||
var tester = CxxFileTesterHelper.create("ValidatePasswordCheck.cc"); |
||||
SourceFile file = CxxAstScanner.scanSingleInputFile(tester.asInputFile(), checker); |
||||
CheckMessagesVerifier.verify(file.getCheckMessages()) |
||||
.next().atLine(5).withMessage("口令不匹配足够复杂度") |
||||
.noMore(); |
||||
} |
||||
} |
@ -0,0 +1,10 @@ |
||||
int main() { |
||||
|
||||
std::string input = "example"; |
||||
// 使用std::hash
|
||||
std::hash<std::string> hasher ; // error
|
||||
size_t hash_value = hasher(input); |
||||
std::cout << "Hash value using std::hash: " << hash_value << std::endl; |
||||
|
||||
return 0; |
||||
} |
@ -0,0 +1,22 @@ |
||||
struct User { |
||||
char name[50]; |
||||
int age; |
||||
}; |
||||
|
||||
int main() { |
||||
// 假设有一个使用者结构体需要重新分配内存
|
||||
// User* users = (User*)malloc(5 * sizeof(User));
|
||||
|
||||
// 在使用realloc()函数重新分配内存块之前,先清空使用者信息
|
||||
// memset(users, 0, 5 * sizeof(User));
|
||||
|
||||
// 使用realloc()函数重新分配内存块
|
||||
users = (User*)realloc(users, 10 * sizeof(User));//error
|
||||
|
||||
// 继续使用重新分配后的内存块...
|
||||
|
||||
// 最后释放内存
|
||||
// free(users);
|
||||
|
||||
return 0; |
||||
} |
@ -0,0 +1,7 @@ |
||||
#include <string> |
||||
using namespace std; |
||||
|
||||
int main() { |
||||
string password = "1111111111"; // error
|
||||
return 0; |
||||
} |
Loading…
Reference in new issue