新增准则：用户输入口令时对口令域进行掩饰，通常，用户输入的每一个字符都应该以“*”形式回显

10 months ago · fdedbfa265
parent cf37c3e79b
commit fdedbfa265
3 changed files with 171 additions and 0 deletions
--- a/sonar-keyware-plugins-cxx/src/main/java/com/keyware/sonar/cxx/rules/checkers/UserInputPasswordChecker.java
+++ b/sonar-keyware-plugins-cxx/src/main/java/com/keyware/sonar/cxx/rules/checkers/UserInputPasswordChecker.java
@ -0,0 +1,87 @@
 /*
 * Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
 * 项目名称：信息安全性设计准则检查插件
 * 项目描述：用于检查源代码的安全性设计准则的Sonarqube插件
 * 版权说明：本软件属北京关键科技股份有限公司所有，在未获得北京关键科技股份有限公司正式授权情况下，任何企业和个人，不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。
 */
 package com.keyware.sonar.cxx.rules.checkers;
 import com.sonar.cxx.sslr.api.AstNode;
 import com.sonar.cxx.sslr.api.Grammar;
 import org.sonar.check.Priority;
 import org.sonar.check.Rule;
 import org.sonar.cxx.parser.CxxGrammarImpl;
 import org.sonar.cxx.squidbridge.annotations.ActivatedByDefault;
 import org.sonar.cxx.squidbridge.annotations.SqaleConstantRemediation;
 import org.sonar.cxx.squidbridge.checks.SquidCheck;
 import javax.annotation.Nullable;
 import java.util.HashMap;
 import java.util.Map;
 /**
 * 规则：用户输入口令时对口令域进行掩饰，通常，用户输入的每一个字符都应该以“*”形式回显
 * 实现逻辑：在Qt中，检验是否使用QLineEdit并将其echoMode属性设置为QLineEdit::Password, 如：
 * QLineEdit *passwordLineEdit = new QLineEdit;
 * passwordLineEdit->setEchoMode(QLineEdit::Password);
 *
 * @author GuoXin
 * @date 2024/1/20
 */
@Rule(key = "UserInputPasswordChecker", name = "用户输入口令时应对口令域进行掩饰", description = "用户输入口令时对口令域进行掩饰，通常，用户输入的每一个字符都应该以“*”形式回显", priority = Priority.INFO, tags = {"28suo"})
@ActivatedByDefault
@SqaleConstantRemediation("5min")
 public class UserInputPasswordChecker extends SquidCheck<Grammar> {
    private static final Map<String, AstNode> fieldsMap = new HashMap<>();
    @Override
    public void init() {
        subscribeTo(CxxGrammarImpl.simpleDeclaration);
    }
    @Override
    public void visitNode(AstNode astNode) {
        var declNode = astNode.getFirstDescendant(CxxGrammarImpl.declSpecifier);
        if (declNode == null) {
            return;
        }
        var declName = declNode.getTokenValue();
        if (!"QLineEdit".equals(declName)) {
            return;
        }
        astNode.getFirstDescendant(CxxGrammarImpl.initDeclaratorList).getChildren().forEach(child -> {
            var fieldName = child.getFirstDescendant(CxxGrammarImpl.declaratorId).getTokenValue();
            if (fieldName.toLowerCase().contains("password")) {
                fieldsMap.put(fieldName, child);
                // 判断声明节点的下一个节点是否为函数调用节点
                var next = astNode.getNextAstNode();
                do {
                    if (fieldName.equals(next.getTokenValue())) {
                        var nnext = next.getNextAstNode();
                        if (nnext != null && "setEchoMode".equals(nnext.getTokenValue())) {
                            var paramNode = nnext.getFirstDescendant(CxxGrammarImpl.parameterDeclarationList);
                            if (paramNode.hasDescendant(CxxGrammarImpl.qualifiedId)) {
                                var qualifiedNode = paramNode.getFirstDescendant(CxxGrammarImpl.qualifiedId);
                                if (qualifiedNode != null) {
                                    if ("QLineEdit".equals(qualifiedNode.getFirstChild().getTokenValue())
                                            && "Password".equals(qualifiedNode.getLastChild().getTokenValue())) {
                                        fieldsMap.remove(fieldName);
                                    }
                                }
                            }
                        }
                    }
                    next = next.getNextAstNode();
                } while (next != null);
            }
        });
    }
    @Override
    public void leaveFile(@Nullable AstNode astNode) {
        fieldsMap.values().forEach(node -> getContext().createLineViolation(this, "用户输入口令时对口令域进行掩饰，通常，用户输入的每一个字符都应该以“*”形式回显", node));
    }
 }
--- a/sonar-keyware-plugins-cxx/src/test/java/com/keyware/sonar/cxx/rules/checkers/UserInputPasswordCheckerTest.java
+++ b/sonar-keyware-plugins-cxx/src/test/java/com/keyware/sonar/cxx/rules/checkers/UserInputPasswordCheckerTest.java
@ -0,0 +1,35 @@
 /*
 * Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved.
 * 项目名称：信息安全性设计准则检查插件
 * 项目描述：用于检查源代码的安全性设计准则的Sonarqube插件
 * 版权说明：本软件属北京关键科技股份有限公司所有，在未获得北京关键科技股份有限公司正式授权情况下，任何企业和个人，不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。
 */
 package com.keyware.sonar.cxx.rules.checkers;
 import com.keyware.sonar.cxx.CxxFileTesterHelper;
 import org.junit.jupiter.api.Test;
 import org.sonar.cxx.CxxAstScanner;
 import org.sonar.cxx.squidbridge.api.SourceFile;
 import org.sonar.cxx.squidbridge.checks.CheckMessagesVerifier;
 import java.io.IOException;
 /**
 * 测试规则：用户输入口令时对口令域进行掩饰，通常，用户输入的每一个字符都应该以“*”形式回显
 *
 * @author GuoXin
 * @date 2024/1/20
 */
 public class UserInputPasswordCheckerTest {
    @Test
    public void checkTest() throws IOException {
        var checker = new UserInputPasswordChecker();
        var tester = CxxFileTesterHelper.create("UserInputPasswordChecker.cc");
        SourceFile file = CxxAstScanner.scanSingleInputFile(tester.asInputFile(), checker);
        CheckMessagesVerifier.verify(file.getCheckMessages())
                .next().atLine(18).withMessage("用户输入口令时对口令域进行掩饰，通常，用户输入的每一个字符都应该以“*”形式回显")
                .next().atLine(22).withMessage("用户输入口令时对口令域进行掩饰，通常，用户输入的每一个字符都应该以“*”形式回显")
                .noMore();
    }
 }
--- a/sonar-keyware-plugins-cxx/src/test/resources/com/keyware/sonar/cxx/rules/checkers/UserInputPasswordChecker.cc
+++ b/sonar-keyware-plugins-cxx/src/test/resources/com/keyware/sonar/cxx/rules/checkers/UserInputPasswordChecker.cc
@ -0,0 +1,49 @@
 #include <QApplication>
 #include <QFormLayout>
 #include <QLineEdit>
 #include <QPushButton>
 #include <QMessageBox>
 #include <QDialog>
 class LoginDialog : public QDialog
 {
 public:
    LoginDialog(QWidget *parent = nullptr)
        : QDialog(parent)
    {
        setWindowTitle("注册界面");
        // 设置用户名输入框
        QLineEdit *usernameLineEdit = new QLineEdit;
        usernameLineEdit.setPlaceholderText("请输入用户名");
        // 设置密码输入框
        QLineEdit *passwordLineEdit = new QLineEdit; // error 应对口领域进行演示
        //passwordLineEdit->setEchoMode(QLineEdit::Password);
        passwordLineEdit->setPlaceholderText("请输入密码");
        // 设置密码输入框
        QLineEdit rePasswordLineEdit = new QLineEdit; // error 应对口领域进行演示
        //rePasswordLineEdit.setEchoMode(QLineEdit::Password);
        rePasswordLineEdit.setPlaceholderText("请在次输入密码");
        // 设置登录按钮
        QPushButton *loginButton = new QPushButton("注册");
        connect(loginButton, &QPushButton::clicked, this, [=this]() {
            if (usernameLineEdit->text().isEmpty() || passwordLineEdit->text().isEmpty()) {
                QMessageBox::warning(this, "警告", "用户名或密码不能为空！");
            } else {
                // 在此处验证用户名和密码...
            }
        });
        // 使用表单布局设置窗口布局
        QFormLayout *formLayout = new QFormLayout;
        formLayout->addRow("用户名：", usernameLineEdit);
        formLayout->addRow("密码：", passwordLineEdit);
        formLayout->addRow("再次输入密码：", passwordLineEdit);
        formLayout->addWidget(loginButton);
        setLayout(formLayout);
    }
 };
 int main(int argc, char *argv[])
 {
    QApplication app(argc, argv);
    LoginDialog dialog;
    dialog.show();
    return app.exec();
 }