污点分析
所需概念
- source、sink、sanitizers定义
- ast、cfg的构建(很多文章的污点分析实现方式)
- PHP-Parse
- CFG要点
- LLVM IR -> CFG https://www.zhihu.com/question/29744909
- AST -> CFG 还是得看虎书,有很长的路要走
自动化方案
危险函数匹配
Seay, 没啥好说的代码相似性比对
一些开发者会复制其他框架的代码,或者使用各种框架。如果事先有建立对应的漏洞图谱,则可使用相似性方法来找到漏洞。控制流分析
在2012年,Dahse J等人设计了RIPS,该工具引入AST进行数据流与控制流分析,结合过程内与过程间的分析得到审计结果,相对危险函数匹配的方式来说误报率少了很多,但是同样的也增加了开销。RIPS初始的版本开放源代码,而后闭源进行商业化。基于图的分析
基于图的分析是对控制流分析的一个改进,其利用CFG的特性和图计算的算法,一定程度上简化了计算,比较有代表性的是微软的Semmle QL和NDSS 2017年发表的文章Efficient and Flexible Discovery of PHP Application Vulnerabilities。
注:Semmle就是CodeQL的开发公司,因此SemmleQL实际就是CodeQL的前身。
- 灰盒分析
基于控制流的分析开销较大,于是有人提出了基于运行时的分析方式,对代码进行Hook,当执行到危险函数时自动回溯输入,找到输入并判断是否可用。
这种方式解决了控制流分析实现复杂、计算路径开销大的问题,在判断过滤函数上也有一定的突破,但是灰盒的方式并不一定会触发所有的漏洞。fate0大佬开发的prvd就是基于这种设计思路。
注:除此之外,像php-taint、rasp等应该都是这种思路。但这里的分析应该是基于代码覆盖率的。
已有的工具和思路学习
fate0-PRVD
PRVD分为taint和payload两种模式。
taint模式就是和php-taint一样对输入做标记然后分析。但是由于一些filter的成功/不成功过滤,使得分析容易误报/漏报。因此产生payload模式:直接打payload,然后在sink点观测payload。隐形人-phpvulhunter
这个工具手工实现了php->AST->CFG的过程,虽然看大佬们的评论说有点简陋,但对于我来说很有学习的意义。
工具核心思路是:ast—>cfg,然后检测cfg中调用了敏感函数,就停下来进行污染传播分析,进行过程间分析、过程内分析,找到对应的污点数据。然后基于数据流分析过程中搜集的信息,进行净化信息和编码信息的判断,从而判断是否为漏洞。
不错的入门资料
- https://www.bookstack.cn/read/CTF-All-In-One/doc-5.5_taint_analysis.md#5.5%20%E6%B1%A1%E7%82%B9%E5%88%86%E6%9E%90
- https://xz.aliyun.com/t/4637
- https://www.zhihu.com/question/27730062
- https://blog.csdn.net/u011721501/article/details/46271551
符号执行
概念
https://ch3nye.top/%E7%AC%A6%E5%8F%B7%E6%89%A7%E8%A1%8C%E6%8A%80%E6%9C%AF%E7%AC%94%E8%AE%B0/
看这一篇足够了
利用
是否可以把符号执行+Fuzz应用在web的基于运行时的动态代码审计中。