Change log:
-
规则变动:
序号 规则编号 规则简述 描述 1 feysh.java.path-traversal.PathTraversal潜在路径遍历-任意文件访问(读写删) 新规则。根据字符串路径创建File or Path(其他路径穿越的超集) 或删除文件时报告 2 feysh.java.path-traversal.PathTraversalIn潜在路径遍历(任意读取文件) 拆分原规则,重新根据文件操作API行为进行分类并拆分 3 feysh.java.path-traversal.PathTraversalOut潜在路径遍历(任意创建写入文件) 拆分原规则,重新根据文件操作API行为进行分类并拆分 4 feysh.java.path-traversal.ArbitraryFileLeak潜在路径遍历(任意泄露文件) 新规则。包括任意文件下载泄露漏洞 5 feysh.java.path-traversal.ArbitraryFileReceive潜在路径遍历(任意接受并创建文件) 新规则。包括任意文件路径上传漏洞 6 feysh.java.custom.VulnerableDependency 自定义三方库的引用版本检查 新规则 7 feysh.java.custom.TargetMethodInvoke 自定义API调用检查器 新规则 8 feysh.java.codei.ProcessControl进程控制 新规则 9 feysh.java.sqli.SqlInjectionSQL 注入 新增加 MyBatis-plus 3&2 框架SQL注入检查 10 feysh.java.sqli.IbatisSqlInjectionSinkHintIBatis SQL mapper xml 中的参数拼接点 新规则,目前仅支持sink点查找,开发中 11 feysh.java.xss.XssInjectionXSS 注入 提升分析精度 12 feysh.java.leakage.DebugLogFileLeak开启调试级别日志文件 新规则 13 feysh.java.httponly-cookie.PropertiesHttpOnlyCookie会话Cookie未设置HttpOnly属性 新规则 14 feysh.java.insecure-cookie.PropertiesInsecureCookie创建没有 secure 标志的 cookie 新规则 15 feysh.java.cookie-persistent.CookiePersistentCookie有效时间过长 新规则 16 feysh.java.cookie-persistent.PropertiesCookiePersistent持久性Cookie 新规则 17 feysh.java.overly-broad-cookie-attribute.PropertiesOverlyBroadDomain/OverlyBroadDomain会话中的过于宽泛的域 新规则 18 feysh.java.overly-broad-cookie-attribute.PropertiesOverlyBroadPath/OverlyBroadPath会话中的过于宽泛的路径 新规则 - 公开部分规则文档,详见 analysis-config\descriptions
-
改进:
- 使用
--make-scorecard参数自动生成分析结果统计时,会打印表格到控制台。 - 完善污点指针传播配置,包括:
aliyun OSS 框架等
- 使用
-
修复:
- Kotlin协程job泄露导致的性能问题
Analysis API中增加大量Semaphore控制资源打开数量,增加了用户可配置的根据文件后缀限制单文件大小功能。- 内存不足
OOM时小概率情况可能出现的进程无响应不能捕获异常退出且长时间占用CPU问题。 Qilin指针分析的两处崩溃问题,Mybatis配置解析器崩溃两处问题。- Spring 框架建模
dummy method中的soot变量未定义bug - 改进分析引擎,修复了若干崩溃和错误,增加了稳定性和正确性
corax-java-cli-community-2.20.zip 中包含编译好的规则配置和分析引擎二进制jar,无需下载源码编译。
SHA256: 629cf66d2397bddff7cbcd2958708c5da1424dfd686528d55701e6a2f3d9a97b