Checkmarx | Unsafe Reflection

2024-03-01

前言

在前篇 Checkmarx Unsafe_Reflection 是依 if + 白名單 + Contains 的方式來處理，
但 Checkmarx 更版後，就沒辦法成功了，怎麼辦呢?

環境: Checkmarx 版本：V 9.5.5.1007 HF14
類別：Unsafe Reflection
嚴重程度：高風險

解法

Checkmarx 最新的 Rule 如下，

CxList inputs = Find_Inputs();
CxList comCreations = Find_ObjectCreations().FindByTypes(new String[]{
    "CodeSnippetExpression",
    "CodeEntryPointMethod",
    "CodeTypeReference",
    "CodeTypeReference",
    "CodeObjectCreateExpression",
    "CodeMethodInvokeExpression",
    "CodeTypeReferenceExpression",
    "CodeMethodReturnStatement",
    "CodeMemberMethod"});

CxList unknownList = All.NewCxList();
unknownList.Add(
    Find_UnknownReference(),
    Find_Param(),
    Find_TypeRef());

CxList auxInput = All.NewCxList();
auxInput.Add(
    inputs,
    unknownList.FindAllReferences(inputs.GetAssignee()));

CxList methods = Find_Methods();

CxList relevantMethods = methods.FindByMemberAccesses(new string [] {"Type.GetType", "Type.GetMethod", "Type.InvokeMember",
    "Module.GetType", "Module.GetMethod", "Assembly.Load", "Assembly.LoadFile", "Assembly.LoadFrom",
    "Assembly.LoadModule", "Assembly.LoadWithPartialName", "Assembly.ReflectionOnlyLoad", "Assembly.ReflectionOnlyLoadFrom",
    "Assembly.UnsafeLoadFrom", "Assembly.GetType", "TypeInfo.GetMethod",
    "TypeInfo.InvokeMember", "TypeDelegator.InvokeMember"}, false);

CxList relevantSinks = unknownList.GetParameters(relevantMethods, 0);

CxList containsMethods = methods.FindByMemberAccess("*.Contains").GetByAncs(Find_Ifs());
CxList influenceIfparams = auxInput.GetParameters(containsMethods.FindByParameters(auxInput), 0);
CxList allReferencesOfifParams = auxInput.FindAllReferences(influenceIfparams);

CxList notInfluencedChecks = relevantSinks - relevantSinks.FindByParameters(allReferencesOfifParams);
notInfluencedChecks.Add(All.FindAllReferences(notInfluencedChecks.GetAssignee()));

CxList notInfluencedComCreations = comCreations - comCreations.FindByParameters(allReferencesOfifParams);
CxList objsC = notInfluencedComCreations.FindByParameters(All.GetParameters(notInfluencedComCreations) * auxInput);

CxList sinks = All.NewCxList();
sinks.Add(notInfluencedChecks, objsC);

CxList sanitizers = Find_Integers();

result = inputs.InfluencingOnAndNotSanitized(sinks, sanitizers).ReduceFlow(CxList.ReduceFlowType.ReduceBigFlow);

在上面程式中，可以發現，if + 白名單 + Contains還是存在的，
而另一個確定的做法是轉成 Int (如果轉 int 可以，那 GUID 也應該可以才對)。
有問題的程式類似如下，是一個 WebService 程式，
主要是依 reportId 來取得報表範本，並產生報表。

public ResponseData ReportServiceInData(string reportId, string user, DataSet data)
{
    IReportGenerator rpt;
    rpt = factory.CreateReportGenerator(reportId, user);
    result = rpt.ExportReport(data);
    return result;
}

//CreateReportGenerator 就透過 Assembly.LoadFile 來載入 DLL

因為有轉 int 的 rule 在，所以可以檢查一下 reportId 是不是有固定的命名規則，
有的話，就先將它轉成 int 後，再組回來，就可以解掉問題。
例如 reportId 為 R001, R002, R003 …
所以就可以將 reportId 去掉 R ，轉成 int ，再組回去就行了，
傳給factory.CreateReportGenerator 就是轉過 int 的 newRptId 如下，

public ResponseData ReportServiceInData(string reportId, string user, DataSet data)
{
    int rptId = Convert.ToInt32(reportId.Replace("R", string.Empty));
    var newRptId = $"R{rptId:##000}";
    var factory = new Factory();
    IReportGenerator rpt;
    rpt = factory.CreateReportGenerator(newRptId, user);
    result = rpt.ExportReport(data);
    return result;
}

當然，以上僅在規則中調整，最好當然將 Assembly.LoadFile 改掉。

參考資源

Checkmarx Unsafe_Reflection

一文錢買個糖人(吃了沒玩的，玩了沒吃的):喻人對某一件事，處於取捨兩難之間，一時無法抉擇的意思

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true