CodeQL目录穿越漏洞检测实战教学文档<\/h1>

1. 前言<\/h2>
CodeQL是一种强大的语义代码分析引擎，可以自动化检测代码中的安全漏洞。本教程将详细介绍如何使用CodeQL检测目录穿越(Directory Traversal)漏洞，以ofcms 1.1.3版本为例进行实战演示。<\/p>

2. 环境搭建<\/h2>

2.1 下载和部署ofcms<\/h3>

下载ofcms 1.1.3版本源码<\/li>

配置Tomcat容器部署应用

可能遇到文件权限问题，需设置文件安全权限<\/li>

右键文件 → 属性 → 安全 → 设置所有权限<\/li> <\/ul> <\/li> <\/ol>

2.2 数据库配置<\/h3>

创建名为ofcms<\/code>的数据库<\/li>
导入SQL文件初始化数据库结构<\/li>

修改数据库配置文件：

文件路径：ofcms-V1.1.3\/ofcms-admin\/src\/main\/resources\/dev\/conf\/db-config.properties<\/code><\/li>
修改为正确的数据库用户名和密码<\/li>
重命名为db.properties<\/code><\/li>
<\/ul>
<\/li>
重启Web容器<\/li>
<\/ol>
2.3 验证安装<\/h3>
访问应用，确认安装成功。后台管理界面位于特定路径。<\/p>
3. 目录穿越漏洞复现<\/h2>

漏洞位置：模板文件操作功能<\/li>
复现步骤：

点击保存模板文件<\/li>
拦截请求包<\/li>
修改filename<\/code>参数，添加..\/<\/code>路径遍历序列<\/li>
观察结果，确认文件被写入非预期目录<\/li>
<\/ul>
<\/li>
<\/ol>
4. 漏洞代码分析<\/h2>
4.1 漏洞代码位置<\/h3>
在save<\/code>方法中，存在以下可控参数：<\/p>

文件内容(content)<\/li>
文件名(filename)<\/li>
<\/ul>
4.2 漏洞产生原因<\/h3>
未对用户提供的文件名参数进行充分验证和过滤，导致可以包含路径遍历序列(..\/<\/code>)，从而将文件写入任意目录。<\/p>
5. CodeQL实践<\/h2>
5.1 初始尝试<\/h3>
直接使用官方提供的CodeQL查询可能无法检测到此漏洞，因为：<\/p>

默认的source点定义不包含特定框架(JFinal)的参数入口<\/li>
需要自定义source点以匹配实际应用架构<\/li>
<\/ol>
5.2 Sink点分析<\/h3>

关键sink点是文件写入操作：
FileUtils.<\/span>writeString<\/span>(<\/span>new<\/span> File(<\/span>path),<\/span> content);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
在CodeQL中可表示为：
class FileWriteSink extends MethodAccess {
  FileWriteSink() {
    this.getMethod().hasName("writeString") and
    this.getMethod().getDeclaringType().hasQualifiedName("org.apache.commons.io", "FileUtils")
  }
}
<\/code><\/pre>
<\/li>
<\/ol>
5.3 Source点分析<\/h3>


在JFinal框架中，参数通常通过getter方法获取<\/p>
<\/li>

需要识别框架特定的参数入口点：<\/p>

JFinal Controller的getter方法<\/li>
Servlet API参数<\/li>
自定义路由参数<\/li>
<\/ul>
<\/li>

自定义source点示例：<\/p>
class JFinalSource extends RemoteFlowSource {
  JFinalSource() {
    exists(Method m | 
      m.getDeclaringType().getASupertype*().hasQualifiedName("com.jfinal.core", "Controller") and
      (m.hasName("getPara") or m.hasName("getModel") or m.hasName("getBean"))
    )
  }
}
<\/code><\/pre>
<\/li>
<\/ol>
5.4 完整查询示例<\/h3>
import java
import semmle.code.java.dataflow.FlowSources
import semmle.code.java.dataflow.TaintTracking

class FileWriteSink extends MethodAccess {
  FileWriteSink() {
    this.getMethod().hasName("writeString") and
    this.getMethod().getDeclaringType().hasQualifiedName("org.apache.commons.io", "FileUtils")
  }
}

class JFinalSource extends RemoteFlowSource {
  JFinalSource() {
    exists(Method m | 
      m.getDeclaringType().getASupertype*().hasQualifiedName("com.jfinal.core", "Controller") and
      (m.hasName("getPara") or m.hasName("getModel") or m.hasName("getBean"))
    )
  }
}

class DirectoryTraversalConfiguration extends TaintTracking::Configuration {
  DirectoryTraversalConfiguration() { this = "DirectoryTraversalConfiguration" }
  
  override predicate isSource(DataFlow::Node source) {
    source instanceof RemoteFlowSource
  }
  
  override predicate isSink(DataFlow::Node sink) {
    exists(FileWriteSink fws | 
      sink.asExpr() = fws.getArgument(0) or
      sink.asExpr() = fws.getArgument(1)
    )
  }
}

from DirectoryTraversalConfiguration cfg, DataFlow::PathNode source, DataFlow::PathNode sink
where cfg.hasFlowPath(source, sink)
select sink, source, sink, "Potential directory traversal vulnerability"
<\/code><\/pre>
6. 查询思路分析<\/h2>
6.1 Sink点扩展<\/h3>
除了文件写入操作，还可以考虑：<\/p>

文件读取操作<\/li>
文件删除操作<\/li>
文件重命名操作<\/li>
<\/ol>
6.2 Source点扩展<\/h3>

框架特定source点：

JFinal Controller<\/li>
Spring MVC Controller<\/li>
Struts Action<\/li>
<\/ul>
<\/li>
Servlet API source点：

HttpServletRequest参数<\/li>
请求头<\/li>
Cookie值<\/li>
<\/ul>
<\/li>
自定义路由source点<\/li>
<\/ol>
6.3 完整框架支持<\/h3>
对于完整的企业级应用，需要构建更全面的source点模型：<\/p>

识别应用使用的框架<\/li>
为每个框架定义特定的参数入口点<\/li>
考虑框架间的交互和参数传递<\/li>
<\/ol>
7. 优化建议<\/h2>


添加路径净化检查：<\/p>
predicate isSanitizer(DataFlow::Node node) {
  exists(MethodAccess ma |
    ma.getMethod().hasName("normalize") and
    ma.getMethod().getDeclaringType().hasQualifiedName("org.apache.commons.io", "FilenameUtils") and
    node.asExpr() = ma
  )
}
<\/code><\/pre>
<\/li>

添加对特定危险字符的检查：<\/p>
override predicate isAdditionalTaintStep(DataFlow::Node pred, DataFlow::Node succ) {
  exists(StringLiteral sl | 
    sl.getStringValue().regexpMatch(".*\\.\\.\/.*") and
    pred.asExpr() = sl and
    succ.asExpr().getEnclosingCallable() = pred.asExpr().getEnclosingCallable()
  )
}
<\/code><\/pre>
<\/li>
<\/ol>
8. 总结<\/h2>
通过本教程，我们学习了：<\/p>

如何搭建和复现目录穿越漏洞<\/li>
CodeQL检测目录穿越的基本原理<\/li>
如何自定义source和sink点以适应特定框架<\/li>
如何构建完整的污点传播分析<\/li>
<\/ol>
关键要点：<\/p>

理解应用的框架结构对定义source点至关重要<\/li>
需要全面考虑所有可能的文件操作sink点<\/li>
路径净化检查是减少误报的重要手段<\/li>
特定框架需要特定的查询策略<\/li>
<\/ul>

CodeQL目录穿越漏洞检测实战教学文档<\/h1>

1. 前言<\/h2> CodeQL是一种强大的语义代码分析引擎，可以自动化检测代码中的安全漏洞。本教程将详细介绍如何使用CodeQL检测目录穿越(Directory Traversal)漏洞，以ofcms 1.1.3版本为例进行实战演示。<\/p>

2. 环境搭建<\/h2>

2.3 验证安装<\/h3> 访问应用，确认安装成功。后台管理界面位于特定路径。<\/p>

4. 漏洞代码分析<\/h2>

4.2 漏洞产生原因<\/h3> 未对用户提供的文件名参数进行充分验证和过滤，导致可以包含路径遍历序列(..\/<\/code>)，从而将文件写入任意目录。<\/p>

6. 查询思路分析<\/h2>

1. 前言<\/h2>
CodeQL是一种强大的语义代码分析引擎，可以自动化检测代码中的安全漏洞。本教程将详细介绍如何使用CodeQL检测目录穿越(Directory Traversal)漏洞，以ofcms 1.1.3版本为例进行实战演示。<\/p>

2.3 验证安装<\/h3>
访问应用，确认安装成功。后台管理界面位于特定路径。<\/p>

4.2 漏洞产生原因<\/h3>
未对用户提供的文件名参数进行充分验证和过滤，导致可以包含路径遍历序列(`..\/<\/code>)，从而将文件写入任意目录。<\/p>`