Skip to content

Swordfish-Security/Checkmarx-Custom-Query-Rules

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

5 Commits
CSharp
CSharp
 
 
Java
Java
 
 
JavaScript
JavaScript
 
 
Objective-C
Objective-C
 
 
Scala
Scala
 
 
common
common
 
 
kotlin
kotlin
 
 
.gitignore
.gitignore
 
 
README.md
README.md
 
 

Repository files navigation

Checkmarx Custom Query Rules Repo

Очень долгое время не хватало ресурса, где можно было бы выложить общие правила или вспомогательные функции и почерпнуть немного новых идей. Этот репозиторий предназначен для обмена опытом по написанию правил на языке CxQL.

Все правила, которые находятся в нём, имеют общий характер, расширяют возможности системы и могут быть применены для любых проектов, без привязке к специфике. Также, можно изменять правила под специфику ваших приложений, добавляя и расширяя перечень используемых имён переменных, библиотек и других особенностей.

Структура репозитория

Структура разбита по языкам, как и в самом инструменте. Практически каждая строка в правилах будет прокомментирована для лучшего понимания того, что происходит и как работает язык CxQL.

Правила

На данный момент репозиторий содержит:

  • сommon

    • General_privacy_violation_list - override дефолтного правила и добавление нескольких дополнительных переменных для поиска

  • CSharp

    • Find_Hardcoded_Passwords - Поиск паролей в коде, которые заданы в качестве параметров функций по умолчанию.
    • Use_Hardcoded_Encryption_Key - поиск ключей шифрования в коде, которые заданы массивом байтов.

  • Java

    • android
      • Activity_Task_Hijacking - поиск подверженных уязвимости Task Hijacking компонент приложения
      • CleartexTraffic_Enabled_True - проверка сетевых настроек, разрешающих взаимодействие по HTTP
      • Insecure_Network_Configuration_CleartexTraffic_Permitted_True - Второе правило для проверки сетевых настроек, разрешающих взаимодействие по HTTP
      • Non_System_Trust_Anchors - проверка корректности настройки доверия сертификатам
      • ProGuard_Obfuscation_Not_In_Use - очистка от ложных срабатываний базового правила, если в проекте присутствуют файлы сборки для библиотек
      • Using_Cert_From_Assets - использование сертификатов из ресурсов приложения
    • general
      • Find_Android_Log_Outputs.txt - добавлена поддержка библиотек Timber и Loggi для логирования
      • Find_Android_Outputs.txt - добавлена поддержка библиотек Timber и Loggi для логирования
      • Find_Android_Read.txt - добавлена поддержка метода getInputData для WorkManager

  • JavaScript

    • Lodash-CVE - поиск использования в коде уязвимых методов в библиотеке Lodash

  • kotlin

    • Sensitive_Data_Exposure - доработка правила для поиска sensitive данных
    • Using_Cert_From_Assets - использование сертификатов из ресурсов приложения

  • Objective-C

    • Sensitive_Info_In_Plist.txt - поиск sensitive данных в файлах формата .plist

  • Scala

    • Possible_SQL_Injection - Поиск использования Splicing Literal Values в библиотеке slick

About

No description, website, or topics provided.

Resources

Readme
Activity
Custom properties

Stars

13 stars

Watchers

1 watching

Forks

1 fork
Report repository

Releases

No releases published

Packages

No packages published