Skip to content

corax-java-cli-community-2.14
Compare
Choose a tag to compare
@notify-bibi notify-bibi released this 27 Aug 03:02
· 11 commits to main since this release
v2.14
3a4a17f

Change log:

  1. 提升:完善了大量检查器,增加了精准度减少了漏报
    1. XXE
    2. SSTI
    3. Http Parameter Pollution
    4. Log4j Injection
    5. Jackson Unsafe Deserialization
    6. Sql Injection
    7. Spring Csrf Protection Disabled
    8. PermissiveCors
    9. Ldap Injection
    10. Weak Ssl Context
    11. Path Traversal
  2. 改进:完善污点指针传播配置,包括:okhttp3、java.nio.file.*、monitorjbl.xlsx、apache poi
  3. 改进:自动化测试生成scorecard功能支持漏洞标注在.xml.properties 文件中,并修复统计数据错误问题
  4. 改进:Jacoco 展示污点和分析覆盖率功能支持无源反编译三方库中的class并展示。
  5. 改进:增加 soot decl mapping to java parser decl 功能(AnalysisCache.G.sootHost2decl(sootMethod))映射 java 匿名内部内、内部内、lambda expr 的能力, 减少了漏报
  6. 改进:完善了对Spring框架分析的兼容支持,进一步降低了漏报
  7. 改进:增加大class文件分析限制(maxium 2000 fields or methods),避免某些在AOSP中的项目分析耗时过长的问题
  8. 改进:提高了少量分析引擎数据流分析的性能
  9. 新特性:支持直接根据 jar 文件名以获取 dependency library 版本信息。console中会打印依赖库版本信息和规则激活条件evaluate结果
  10. 新特性:增加打印全部规则id功能,增加参数 -subtools true --list-rules
  11. 新特性:增加 analysis unit : endpoint-path-printer 在分析结束后,会产生 spring mapping url path 和 bean types 信息到{output}/checker/endpoint-path/web-request-mapping-paths.txt
  12. 新特性:支持参数控制 PreAnalysisAIAnalysis 单独执行, 参数映射如下
    1. PreAnalysis:--disable-pre-analysis
    2. AIAnalysis:--enable-data-flow true
    3. Built-in Analysis:--disable-built-in-analysis (引擎内置规则)
  13. 新特性:增加了引擎超时强制退出功能,参数 --timeout {N seconds} 设置
  14. 新特性:Analysis API扩展:
    1. 增加 com.feysh.corax.config.api.report.Region 类,可极其方便地将soot、cpg、Javaparser、regex metches result 结构转换为位置信息
    2. PreAnalysisUnit -> SourceFileCheckPoint 增加 relativePath 字段
    3. PreAnalysisApi 增加了多个易用的report报告接口
    4. 扩展xml解析api,参考 corax-config-general/src/main/kotlin/com/feysh/corax/config/general/utils/XmlUtils.ktcorax-config-general/src/main/kotlin/com/feysh/corax/config/general/utils/PositionalXMLReader.kt
  15. 修复漏报:mybatis mapper xml 解析结果不完整导致丢失 sink 点所产生的漏报问题
  16. 修复漏报:改进因污点配置传递参数配置不准确导致的在容器、数组、Map场景产生的漏报问题
  17. 修复漏报:引擎在部分循环场景下的部分basic block上可能出现的分析中断问题(不动点错误)
  18. 修复漏报:引擎在生成多source的报告路径时产生的漏报bug
  19. 修复:行数错误问题
  20. 修复:引擎在产生路径时极少情况产生的StackOverflowError异常
  21. 修复:改进分析引擎,修复了若干崩溃和错误,增加了稳定性和正确性

corax-java-cli-community-2.14.zip 中包含编译好的规则配置和分析引擎二进制jar,无需下载源码编译。

SHA256: 9fab11e9f24c6ec4f90d452b4270bb2d3374e77feb2e18dd908c1dee6c39247a

Assets 3
Loading