Семь бед — один Semgrep. Ищем уязвимый код с помощью кастомных правил

Содержание статьи

Статический анализ безопасности
Как работает SAST?
Semgrep — это как grep?
Пишем правило для Semgrep
Taint analysis
Пишем шаблоны для Semgrep
Broken Object Level Authorization
Broken Function Level Authorization
SQL Injection
Сканируем стенд
Выводы

Статический анализ безопасности приложений (SAST) нужен для анализа исходного кода или байт‑кода без выполнения программы. Эта дополнительная проверка помогает заранее обнаружить уязвимый код. Однако с настройками по умолчанию SAST малоэффективен. В этой статье посмотрим, как можно его улучшить.

В предыдущей статье я показал, как находить уязвимости в приложениях с помощью динамического сканирования (DAST) на примере сканера Nuclei. Однако DAST — это лишь один из подходов к построению безопасности. В этот раз рассмотрим статический анализ и принципы, на которых он строится.

Ты, возможно, сталкивался со статическими линтерами в популярных IDE вроде VS Code. Они анализируют исходный код и дают рекомендации по улучшению. Примерно так же работает и SAST, только с уклоном в безопасность.

Благодаря SAST специалисты, ответственные за безопасность кода, backend-разработчики, инженеры Application Security, сотрудники DevSecOps и DevOps могут немного расслабиться, так как есть дополнительный уровень проверки и проблемный код не сразу попадет в продуктовое окружение.

Однако с настройками по умолчанию SAST не отличается высокой эффективностью. Чтобы выжать из него максимум, нужно добавить свои настройки — в идеале для конкретного приложения. Я продемонстрирую, как это делать.

В качестве инструмента я выбрал Semgrep, как самый простой способ познакомиться со статическим анализом.

Напишем три правила для обнаружения уязвимостей в API:

Broken Object Level Authorization.
Broken Function Level Authorization.
SQL Injection.

В качестве уязвимой кодовой базы снова возьмем специальное приложение для тестирования защищенности API — VAmPI.

Запускать нам его в этот раз не нужно, достаточно просто скачать исходный код:

git clone https://github.com/erev0s/VAmPI
cd VAmPI

Для сканирования приложения локально установим Semgrep. Он доступен на всех популярных операционных системах, а инструкция по установке есть на официальном сайте. Универсальный способ — ставить через пакетный менеджер pip:

python3 -m pip install semgrep

Чтобы запустить Semgrep со встроенными правилами, нужно перейти в директорию с исходным кодом тестируемого приложения и выполнить следующую команду:

semgrep --config=auto

При таком запуске Semgrep обнаружил только небезопасное использование секретов в исходном коде. Это лучше, чем ничего, но в нашем уязвимом приложении точно есть и более опасные баги.

Обрати внимание, что это бесплатная версия, а разработчики явно говорят, что в платной версии заложено гораздо больше экспертизы. Возможно, в нашем примере ситуация тоже бы изменилась в лучшую сторону.

Однако мы решим проблему иначе: добавив собственные правила. Но сначала рассмотрим, как устроен SAST.

Статический анализ безопасности

Чтобы понять, как работает SAST, рассмотрим четыре подхода:

Abstract syntax tree (AST), абстрактное синтаксическое дерево. AST помогает инструментам SAST понять структуру кода и его семантику. AST — это структура данных, представляющая синтаксическую иерархию исходного кода программы в виде дерева. Например, одним из узлов может быть вызов метода, а его аргументы будут дочерними узлами.
Control flow graph (CFG), граф потока управления. На основе CFG инструменты SAST могут анализировать возможные пути выполнения программы. CFG представляет собой граф, где узлы обозначают базовые блоки кода (последовательности инструкций без ветвлений), а ребра — возможные пути выполнения между этими блоками. Этот граф позволяет понять, как управление передается по программе.
Data flow graph (DFG) — граф потока данных. Анализ потока данных позволяет выявить уязвимости, связанные с неправильной передачей или использованием данных. DFG — граф, в узлах которого расположены операции, а ребра показывают поток данных между этими операциями.
Taint analysis — анализ зараженности. Это продвинутая версия DFG, она фокусируется на отслеживании источников потенциально опасных данных (например, пользовательского ввода) через программу и проверке того, как эти данные используются. Если такие данные применяются без надлежащей фильтрации или валидации, это может привести к уязвимостям.

Как работает SAST?

Теперь по шагам посмотрим, что, собственно, делает SAST.

Анализирует исходный код. SAST-инструменты анализируют исходный код, используя AST, CFG, DFG и другие модели, чтобы получить полное представление о структуре и логике программы.
Ищет паттерны уязвимостей. Применяя различные правила и паттерны (например, использование небезопасных функций, неправильная обработка ошибок), инструменты SAST обнаруживают потенциальные уязвимости.
Создает отчеты. SAST-инструменты генерируют отчеты с описанием найденных уязвимостей, указывая на проблемные места в коде.

Semgrep — это как grep?

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Операторы Clop вымогают деньги у 66 клиентов компании Cleo

Далее → Кибератака вынудила авиакомпанию Japan Airlines задержать вылеты