从0到1实现一个IDEA代码审计插件

JAVA安全 同时被 2 个专栏收录
11 篇文章 2 订阅
16 篇文章 0 订阅

想写这篇文章好久了,重度拖延症患者就是拖拖拖…

然后本文主要是给大家介绍一下怎么实现一个IDEA静态代码检测插件,现在都在讲安全左移嘛,我觉得静态代码检测插件就是一个安全左移很好的落地,于是就想着学习一下

我自己在写这个插件的起步阶段其实遇到了很多问题,这些问题肯定也会是每一个想要写插件的人都会遇到的,所以,我就简单记录下我的开发过程供来者参考

开发环境搭建

首先得确保你的Plugin DevKit插件成功安装并启用了,一般情况下idea都自带了这个插件,你只需要手动启用一下就行,启用过后记得重启idea

然后创建工程,我这里使用gradle创建一个IntelliJ platform plugin的工程,如果你没有启用devkit插件的话,这里应该是找不到intellij platform plugin这个选项的


通过gradle创建的工程,build.gradle文件中会有这么一项


gradle会根据这里的version字段去下载对应版本的intellij依赖包,这一阶段需要花费大量的时间(还有可能一直下载不下来,可以尝试挂代理),可能是因为源在国外吧

gradle项目构建好过后,项目结构大概如下

这里有个比较关键的文件plugin.xml,这是插件的配置文件,很重要,里面有如下常见字段

<idea-plugin>
  <!-- 插件相关信息, 会展示在IDEA插件的描述中 -->
  
  <!-- 插件唯一id, 遵循使用包名的原则 -->
  <id>com.test.sast</id>
  <!-- 插件名称 -->
  <name>AxinSAST</name>
  <!-- 插件版本 -->
  <version>1.0</version>
  <!-- 开发者信息 -->
  <vendor email="wuhu@gmail.com" url="http://wuhu.top">$Company|$Name</vendor>
  <!-- 插件的描述 -->
  <description>my plugin description</description>
  <!-- 插件版本变更信息 -->
  <change-notes>Initial release of the plugin.</change-notes>
  <!-- 如果该插件还依赖了其他插件,则配置对对应的插件id -->
  <depends>com.intellij.modules.all</depends>
  <!-- 插件兼容IDEA的最大和最小build号,不配置则不做限制 -->
  <idea-version since-build="94.539" until-build="192"/>
  <!-- Actions: 如添加一个文件右击菜单按钮 -->
  <actions>
    <action id="FinderAction" class="com.test.finder.FinderAction" text="FileFinder" description="FileFinder">
      <add-to-group group-id="ProjectViewPopupMenu" anchor="first"/>
    </action>
  </actions>
  <!-- 插件定义的扩展点,以供其他插件扩展该插件,类似Java的抽象类的功能 -->
  <extensionPoints>
    ...
  </extensionPoints>
  <!-- 声明该插件对IDEA core或其他插件的扩展 -->
  <extensions xmlns="com.intellij">
    ...
  </extensions>
</idea-plugin>

通常来说,按照上面的操作应该就可以成功建立一个插件工程了,比较容易卡住的就是下载idea依赖那一块儿

当我们写好代码过后,可以使用gradle的runIde这个task测试自己的插件,这个task首次执行时会去下载一个jbr(jetbrains runtime)压缩包,然后利用这个runtime来启动我们的插件

runIde这个task会在一个沙箱环境里运行我们编写的插件,不会影响我们当前正在使用的idea环境,也就是会新起一个测试用的idea,然后我们的插件会在这个测试idea上跑起来

为了能够对idea插件有一个更加清晰的认识,我们来写一个小demo,这个demo也是网上最常见的一个demo

插件开发初体验

我们使用devkit 新建一个action

然后填写好对应的信息:


上述操作完成后,会在我们的项目目录下生成一个对应TestAction类文件,我们重写下该类的ationPerformed方法:

import com.intellij.notification.Notification;
import com.intellij.notification.NotificationDisplayType;
import com.intellij.notification.NotificationGroup;
import com.intellij.notification.Notifications;
import com.intellij.openapi.actionSystem.AnAction;
import com.intellij.openapi.actionSystem.AnActionEvent;
import com.intellij.openapi.ui.MessageType;

public class TestAction extends AnAction {

    @Override
    public void actionPerformed(AnActionEvent e) {
        // TODO: insert action logic here
        // 这里的testid需要和你刚刚填写的action id保持一致
        NotificationGroup notificationGroup = new NotificationGroup("testid", NotificationDisplayType.BALLOON, false);
        /**
         * content :  通知内容
         * type  :通知的类型,warning,info,error
         */
        Notification notification = notificationGroup.createNotification("测试通知", MessageType.INFO);
        Notifications.Bus.notify(notification);
    }
}

完成了上面的操作,我们可以看下plugin.xml文件有什么变化

你会发现这里多了个action,这个action其实是devkit帮我们自动注册的,所以,到这里你也应该能够理解devkit有啥用了吧,它帮我们封装了一些方法,让我们更加便利的进行插件开发

如果我们没有使用devkit来创建刚刚那么一个action的话,我们就需要手动在plugin.xml文件里注册action,然后在对应的类实现对应的方法

ok,到此其实我们的一个小demo就算是完成了,到目前为止你都不需要去理解上面的代码有啥用,你只需要按照我的步骤走一遍就行,至于上面的代码能实现什么效果,有什么是比亲眼见证更好的呢?

接下来就是验证插件的效果了,直接执行intellij的runIde任务就好

运行这个会新起一个idea,然后我们的插件会自动安装到这个idea上,我们这个插件会在tools菜单下注册一个item,然后点击该item会在idea右下角弹出消息「测试通知」

然后我们到idea的plugins里也可以看到,我们的插件的确是成功安装并启用了的


上图中的就是我们的测试插件,红框中的展示文案都是可以在plugin.xml文件中进行配置的

插件的编写说白了还是调用各种api,想要写好一个插件,就需要清楚intellij sdk提供的各种方法以及接口的使用

而我们要编写一个静态代码审计插件的难点也就在「到底该使用哪个接口来进行代码检查」以及「SDK都提供了哪些工具或方法来方便我们完成代码审计」,只要克服了这两个问题,从AST里去找代码中可能存在的问题也就变得千篇一律了

在idea中进行静态代码审计

首先解决第一个问题,用SDK的哪个接口来进行代码审计

虽然intellij的文档写的很烂,但是还好他在github上放了一些代码示例,其中inspection_basics模块以及comparing_references_inspection模块(尤其是这个模块)给了我们提示,通过这两个模块我知道了在intellij platform上进行自动化代码检查需要用到的功能被称作inspection,那么在这个基础上我们就可以进一步查询inspection的使用文档了

既然写到这里了,那为了让屏幕前的大家更好地了解inspection的使用,我干脆来简单的给大家讲解下comparing_references_inspection这个模块里的一些知识点吧,这个简单的demo主要的功能就是检测java代码中有没有错误地进行引用类型的比较,比如对于String类型,错误的使用!=或者==而不是.equals()方法

如果发现有错误的用法插件会将对应的代码高亮,并且提供一键修复功能,除此之外这个demo里还给我们展示了怎么编写测试用例

这简直就是我们的SAST插件想要做的事情——发现漏洞对漏洞代码进行高亮,如果可以,提供一键修复功能

当然,除此之外,我们还希望发现漏洞代码及时上报到soc方便后续人工确认

首先,我们要对java做inspection,需要在build.gradle中的intellij配置好java的plugin


这个配好过后,我们就可以实现一个自己的inspection类啦,这个类需要继承AbstractBaseJavaLocalInspectionTool,然后我们自己实现的inspection类大体架构如下:

public class ComparingReferencesInspection extends AbstractBaseJavaLocalInspectionTool{
	public PsiElementVisitor buildVisitor(@NotNull final ProblemsHolder holder, boolean isOnTheFly){
			return new JavaElementVisitor() {
				public void visitBinaryExpression(PsiBinaryExpression expression) {
					doSomething...
					if(condition){
						holder.registerProblem(expression, "问题描述字符串")
					}
				}
				public void visitXXXXX(){
					xxxxx
				}
			}
	}	
}

其中最重要的方法就是visitXXX方法,上面代码中举了visitBinaryExpression这么个方法,这个方法有什么用呢?

当插件跑起来过后,这个方法就会检查代码中的BinaryExpression,你可能会问BinaryExpression是啥?

intellij platform中的BinaryExpression其实代表的就是代码中的二项式,例如:

"select * from table where id=" + id
1+2
1-2

idea中用BinaryExpression封装了上面这种表达式,代码中的每一个二项式都会作为参数传入visitBinaryExpression方法,然后你可以在这个方法里处理这些二项式,比如判断这个二项式是不是潜在的sql注入语句(例如上面第一条二项式那样)

除了visitBinaryExpression方法,intellij还提供了很多种visit方法,这些方法都是为了方便我们进行代码inspection的,例如visitMethodCallExpression是可以访问到所有的方法调用语句,visitNewExpression可以访问到所有的类似new Xxx()语句

有了上面的基础知识,我们尝试着想一想怎么实现一个简单的检测sql注入的插件,我们不考虑特别复杂的sql注入,我们就考虑怎么检测sql语句拼接就行,例如下面这些句子

public test(String id){
	String id2 = '2';
	String sql1 = "select * from table where id="+id;
	String sql2 = "select * from table where id=" + id2;
}

上面两个sql语句都是二项表达式,所以我们可以用visitBinaryExpression拿到他们,拿到他们过后,我们怎么确定他是一个sql语句呢?毕竟这两个二项表达式是被封装到binaryExpression这个对象里的,怎么通过这个对象判断他是一个sql语句这是一个需要我们解决的问题

这里我们借用一个插件「PsiViewer」,这个插件可以查看当前源码文件的AST树,看图

上图左侧是我们的源代码,右侧是psiviewer插件窗口,当我们在把光标停留在源码某处时,psiviewer窗口会对应展示我们正处在AST树的哪个位置,反过来,当我们在psiviewer窗口中选中ast树某处时,对应的源码也会高亮出来

这个插件可以让我们对intellij platform解析出来的AST树有更加清晰的认知

现在,让我们回到最初的问题,在拿到了BinaryExpression后,我们要怎么判断它到底是不是一个sql语句呢?

其实

如果你观察仔细,你可以从上图中发现psiviewer窗口的下半部分展示了当前PsiBinaryExpression对象所有的属性以及其值

可以看到前两个属性分别是LOperand(左操作数)以及ROperand(右操作数),除此之外还有个属性是operationTokenType,上面截图没有截到,这个属性指明了当前二项式的操作符是啥

常见的操作符有+-

所以,到目前为止怎么判断一个二项式是不是一个sql语句应该很明显了吧:

先判断当前二项式的操作符是不是加号,如果是加号,拿到左操作数以及右操作数,解析出他们的值,然后把他们的值拼接起来,最后用正则判断是不是一个sql语句

当然,这只是很理想的一个状况,如果你要检测sql注入,还需要考虑很多种情况,举一部分🌰:

public test(String id){
	String id2 = '2';
	String sql1 = "select * from table where id="
	String sql2 = sql1 + id;
	String sql1 += id;
	String sql3 = "select * from table where id=" + id2;
	String sql4 = "select * from" + "table" + id2;
	String sql5 = "select * from table where id=" + getId();
	String sql6 = "select * from table where id=%s";
	sql6.format(id);
}

ok,写到这里好像就已经差不多了,要是再细节一点,就是把代码直接贴出来,然后一句句注释了

然后下面是我写的demo插件运行的效果:

代码已上传github:https://github.com/Maskhe/AxinSAST

代码很烂,希望大家别喷我,ball ball 大家

公众号:一个安全研究员,来找我玩!

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 数字20 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值