【静态分析】在springboot使用太阿（Tai-e）01

参考：使用太阿（Tai-e）进行静态代码安全分析（spring-boot篇一） - 先知社区

----------------------------------------------------------------------

 由于spring-boot实现了控制反转与面向切面编程的设计思想，使得程序并非顺序执行，因此很难通过程序入口来顺序分析所有代码。本篇文章旨在从0开始，利用Tai-e来分析spring-boot程序，解决控制反转的问题。

1. 从0开始配置tai-e并加载java-sec-code

1.1 下载tai-e代码

创建文件夹并进入

git clone https://github.com/pascal-lab/Tai-e.git

git init

git submodule update --init --recursive

1.2 IDEA配置tai-e

其实就是按照官方文档进行配置IDEA
在打开tai-e程序后等待一会

Tai-e加载完之后

设置

File->Project Structure，将SDK与Language level设置为17

File->Settings

然后将Build and run using与Run tests using改为idea

1.3 编译java-sec-code

下载java-sec-code源码

git clone https://github.com/JoyChou93/java-sec-code.git

cd java-sec-code

mvn clean package -X

注意：若出现'mvn'不是内部或外部命令，也不是可运行的程序或批处理文件。

则首先确认自己是否安装了maven

若已经安装，则

• 添加Maven到环境变量：

  • 打开系统的环境变量设置，找到Path变量，确保Maven的bin目录路径已经添加到Path变量中。

• 重新打开命令行执行

等待

看到Build success代表编译成功

1.4 配置tai-e加载java-sec-code

首先创建common目录和options和taint-config文件。作为我们自己的配置

options文件内容，注意需要修改appClassPath也就是我们刚才编译的java-sec-code的target。

optionsFile: null
printHelp: false
classPath: []
appClassPath:- D:\software\java-sec-code\java-sec-code\target\classes
mainClass:
inputClasses: []
javaVersion: 8
prependJVM: false
allowPhantom: true
worldBuilderClass: pascal.taie.frontend.soot.SootWorldBuilder
outputDir: output
preBuildIR: false
worldCacheMode: true
scope: REACHABLE
nativeModel: true
planFile: null
analyses:#  ir-dumper: ;pta: cs:ci;implicit-entries:true;distinguish-string-constants:null;reflection-inference:solar;merge-string-objects:false;merge-string-builders:false;merge-exception-objects:false;taint-config:config/common/taint-config.yml;
onlyGenPlan: false
keepResult:- $KEEP-ALL

taint-config文件内容，这个文件暂时不需要修改，就是加了一个sources和sinks点以及transfers。

sources:
#  - { kind: param, method: "<org.joychou.controller.SQLI: java.lang.String jdbc_sqli_sec(java.lang.String)>", index: 0}- { kind: param, method: "<org.joychou.controller.SQLI: java.lang.String jdbc_sqli_vul(java.lang.String)>", index: 0}
#  - { kind: param, method: "<org.joychou.controller.SpEL: void main(java.lang.String[])>", index: 0}
#  - {kind: param, method: "<org.joychou.controller.Rce: java.lang.String CommandExec(java.lang.String)>",index: 0}
sinks:## SQLI- { vuln: "SQL Injection", level: 4, method: "<java.sql.Statement: java.sql.ResultSet executeQuery(java.lang.String)>", index: 0 }- { vuln: "SQL Injection", level: 4, method: "<java.sql.Connection: java.sql.PreparedStatement prepareStatement(java.lang.String)>", index: 0 }
transfers:- { method: "<java.lang.String: java.lang.String concat(java.lang.String)>", from: base, to: result }- { method: "<java.lang.String: java.lang.String concat(java.lang.String)>", from: 0, to: result }- { method: "<java.lang.String: char[] toCharArray()>", from: base, to: result }- { method: "<java.lang.String: void <init>(char[])>", from: 0, to: base }- { method: "<java.lang.String: void getChars(int,int,char[],int)>", from: base, to: 2 }- { method: "<java.lang.String: java.lang.String format(java.lang.String,java.lang.Object[])>", from: "1[*]", to: result }- { method: "<java.lang.StringBuffer: void <init>(java.lang.String)>", from: 0, to: base }- { method: "<java.lang.StringBuffer: java.lang.StringBuffer append(java.lang.String)>", from: 0, to: base }- { method: "<java.lang.StringBuffer: java.lang.StringBuffer append(java.lang.String)>", from: 0, to: result }- { method: "<java.lang.StringBuffer: java.lang.StringBuffer append(java.lang.String)>", from: base, to: result }- { method: "<java.lang.StringBuffer: java.lang.String toString()>", from: base, to: result }- { method: "<java.lang.StringBuilder: void <init>(java.lang.String)>", from: 0, to: base }- { method: "<java.lang.StringBuilder: java.lang.StringBuilder append(java.lang.String)>", from: 0, to: base }- { method: "<java.lang.StringBuilder: java.lang.StringBuilder append(java.lang.String)>", from: 0, to: result }- { method: "<java.lang.StringBuilder: java.lang.StringBuilder append(java.lang.String)>", from: base, to: result }- { method: "<java.lang.StringBuilder: java.lang.String toString()>", from: base, to: result }call-site-mode: true

配置Main函数参数

现在可以运行了，但是你会发现没有taint-flow的结果。
主要的问题是tai-e的taint-analysis是基于pointer-anysis的。而pointer-analysis的分析是基于worklist，这个worklist如果是java se程序初始化就是main函数，可以通过main函数进行分析，进行函数调用处理，从而reach到需要分析的函数。由于我们的是springboot程序包含依赖注入和控制反转等，所以从springboot的入口tai-e没办法分析到我们的controller函数，所以pointer-anlaysis的结果也就是空的，导致taint-anlaysis结果也是空的。

经过分析发现tai-e分析SpringBoot项目存在2个问题。
1. 缺少entrypoint，因为pointerAnalysis分析没办法reach到我们需要分析的controller方法。
2. 缺少source，我们暂时没有办法通过yml将所有Mapping注解的parameters加入sources,我们上边yml仅加入了一个source。
需要解决以上两个问题，才能进行基础的分析。

2. 关键源码分析及实现

2.1 PointerAnaysis分析及入口点添加

由于tai-e的插件是集成在PointerAnalysis，包括污点分析也是，也就是说PointerAnalysis就是这些分析的核心。所以在写如何编写插件前我们先大概分析一下PointerAnlaysis的执行流程。

2.1.1 PointerAnaysis执行流程

我们先看PointerAnalysis 的runAnalysis方法，这个其实不算是入口点，analyze才是，但是analyze仅根据配置然后调用runAnalysis，所以我们直接分析这个就好。

DefalutSolver实现指针分析以及插件的调用，并返回指针分析的结果(core)。

Plugin即一个插件，可以通过编写插件的方式，在进行指针分析的过程中执行我们想要的操作(污点分析也是类似的操作)。

接下来看一下setPlugin方法，目前先不用修改它。

接下来分析DefaultSolver的solve方法。

solve方法会首先调用 initialize 方法，然后执行analyze()方法

initialize方法：
● 初始化调用图、指针流向图 、worklist(可以理解为指针分析的工作集)、reachableMethods(也就是分析能到达的方法)、initializedClasses(可以理解为内置的类，会进行指针分析，不需要我们添加)、stmtProcessor(这个类是指针分析处理语句的核心，根据访问者模式处理对行的语句(new、load、invoke、array等))
● 然后会执行插件的onStart()方法

analyze方法

• 通过消费worklist中的Entry，对Entry进行指针分析的处理，然后调用Plugin的onNewPointsToSet方法（本篇文章用不到该方法，该方法在处理field和array source时会用到）
• 在处理worklist后调用Plugin.onFinish()方法

2.1.2 分析EntryPointerHandler

通过对PointerAnalysis执行流程的分析应该能大概了解Plugin的执行顺序了。
看一下Plugin的interface ，有一系列plugin的方法。

• 插件方法执行流程
  loadPlugin(pointerAnalysis加载插件)->setSolver->onStart->指针分析以及一些plugin方法->onFinish
• 从上边我们可以理解编写Plugin的流程，选择我们需要的方法比如onStart 、onFinish
• 在PointerAnalysis加入编写的插件。

看一下tai-e自带的EntryPointHandler它就是在onStart处判断加入口点。

2.1.3 添加EntryPoint

这样加入我们自己入口点的方法也有了，在onStart的时候把所有 有Mapping注解的方法都加入 入口点，这样pointeranalysis就能分析到我们的source点了，taintanalysis也会有结果。
下边的代码就是获取所有的class，然后获取class的method，若注解是Mapping，则加入entrypoint

public class AddControllerEntryPointHandler implements Plugin {private  Solver solver;@Overridepublic void setSolver(Solver solver) {this.solver=solver;}@Overridepublic void onStart() {//add all hsd mapping annotation methods to entrypointList<JClass> list = solver.getHierarchy().applicationClasses().toList();for (JClass jClass : list) {jClass.getDeclaredMethods().forEach(jMethod->{if (!jMethod.getAnnotations().stream().filter(annotation -> annotation.getType().matches("org.springframework.web.bind.annotation.\\w+Mapping")).toList().isEmpty()) {solver.addEntryPoint(new EntryPoint(jMethod, EmptyParamProvider.get()));}});}}
}

然后在pointer Analysis直接加入该插件，然后执行程序

然后执行程序将dot转换为svg
dot -Tsvg -o taint-flow-graph.svg taint-flow-graph.dot

由于上边我们只加入了一个sources和sql的sink点，所以只能检测出来一个taintflow

2.2 SourceHandler 分析及springboot source 添加

污点分析的核心包括如下三个集成到指针分析的核心插件：
SourceHandler：添加代表污点的特殊堆抽象加入到符合source点规则的指针的指向集中
TransferHandler：将符合污点传播规则的边加入指针分析
SinkHandler：收集污点流，输出source->sink的污点流的集合

2.2.1 source类型

tai-e的污点分析支以下持三种source

sources:- { kind: call, method: "<javax.servlet.ServletRequestWrapper: java.lang.String getParameter(java.lang.String)>", index: result }- { kind: param, method: "<com.example.Controller: java.lang.String index(javax.servlet.http.HttpServletRequest)>", index: 0 }- { kind: field, field: "<SourceSink: java.lang.String info>" }

call sources
source点由调用点生成，若call site语句调用了特定方法，那么返回值就是source点。
paramater sources
对于特定方法，例如入口方法，没有特定的调用点。但其形参依然可能是source点。在spring-boot，通过注解来声明请求的处理入口，没有明确调用controller方法，在这种情况下，paramater sources非常有用。
field sources
对于字段类型的指针，其依然可能是source。

2.2.2 流程分析

从配置中获取source点的配置

当指针分析中产生新的语句或新的调用边时，若语句符合source的规则，则代表指针即为source点

当指针分析产生新的方法时，会处理其中的语句，也会在这个地方处理paramater sources

若我们想添加自定义的source点，便可以在handleParamSource、handleFieldSource、handleCallSource中添加。

2.2.3 添加source

我们的source仅加入了一个，但是一条一条加source也不太现实，没办法实现通用型。
通过分析找到2个比较适合加source点的地方,一个是处理source的开始，一个是处理source结束的地方。
1. SourceHandler处理ParamSource的地方

2. 在tai-e读取taint-config文件解析后添加source

我们这里就看第一种方法吧

代码如下

private void handleParamSource(CSMethod csMethod) {JMethod method = csMethod.getMethod();if (paramSources.containsKey(method)) {Context context = csMethod.getContext();IR ir = method.getIR();paramSources.get(method).forEach(source -> {IndexRef indexRef = source.indexRef();Var param = ir.getParam(indexRef.index());SourcePoint sourcePoint = new ParamSourcePoint(method, indexRef);Obj taint = manager.makeTaint(sourcePoint, source.type());switch (indexRef.kind()) {case VAR -> solver.addVarPointsTo(context, param, taint);case ARRAY, FIELD -> sourceInfos.put(param, new SourceInfo(indexRef, taint));}});}else {if (!method.getAnnotations().stream().filter(annotation -> annotation.getType().matches("org.springframework.web.bind.annotation.\\w+Mapping")).toList().isEmpty()) {Context context = csMethod.getContext();IR ir = method.getIR();for (int i = 0; i < ir.getParams().size(); i++) {Var param = ir.getParam(i);SourcePoint sourcePoint = new ParamSourcePoint(method, new IndexRef(IndexRef.Kind.VAR, i, null));Obj taint = manager.makeTaint(sourcePoint, param.getType());solver.addVarPointsTo(context, param, taint);}}}}

然后执行程序，查看结果，可以看到source都添加成功了，并且新增了一个taintflow。

 3. 结果展示

由lcark、keanu大佬实现更改的相关代码以及配置文件已经上传至github

具体食用方法如下：

1. 下载代码，并移动至spring-boot-1目录下

git clone https://github.com/lcark/Tai-e-demo
cd Tai-e-demo/spring-boot-1
git submodule update --init

2. 将java-sec-code文件夹移至与Tai-e-demo文件夹相同目录下

3. 将SpringBootHandler.java移动至Tai-e源码的src/main/java/pascal/taie/analysis/pta/plugin/taint/目录下，并重新编译打包

4. 使用如下命令运行tai-e便可以成功获取到扫描结果
java -cp xxx\tai-e-all-0.5.1-SNAPSHOT.jar pascal.taie.Main --options-file=options.yml