Merge pull request #624 from yalechen-cyw/main

update enhanceDeploy

Author: owlmk

doc/.vuepress/configs/sidebar/en.ts

@@ -23,14 +23,20 @@ export const en: SidebarConfig = {
         '/en/guide/代码检查/分析结果查看.md',
         '/en/guide/代码检查/添加规则配置.md',
         {
-          text: '典型工具接入指引',
+          text: '典型工具使用手册',
           children: [
             '/en/guide/代码检查/工具/eslint.md',
             '/en/guide/代码检查/工具/golangcilint.md',
             '/eh/guide/代码检查/工具/TCA-Armory-R.md',
             '/eh/guide/代码检查/工具/TCA-Armory-C1.md',
           ],
         },
+        {
+          text: '典型规则包使用手册',
+          children: [
+            '/en/guide/代码检查/规则包/enhanced_safety_java.md',
+          ],
+        },
       ]
     },
     {

doc/.vuepress/configs/sidebar/zh.ts

@@ -23,14 +23,20 @@ export const zh: SidebarConfig = {
         '/zh/guide/代码检查/分析结果查看.md',
         '/zh/guide/代码检查/添加规则配置.md',
         {
-          text: '典型工具接入指引',
+          text: '典型工具使用手册',
           children: [
             '/zh/guide/代码检查/工具/eslint.md',
             '/zh/guide/代码检查/工具/golangcilint.md',
             '/zh/guide/代码检查/工具/TCA-Armory-R.md',
             '/zh/guide/代码检查/工具/TCA-Armory-C1.md',
           ],
         },
+        {
+          text: '典型规则包使用手册',
+          children: [
+            '/zh/guide/代码检查/规则包/enhanced_safety_java.md',
+          ],
+        },
       ]
     },
     {

doc/en/guide/代码检查/规则包/enhanced_safety_java.md

@@ -0,0 +1,133 @@
+# 【Java】强化安全规则包-使用手册
+针对 Java 语言的强化代码安全规则包，属于 TCA 增强分析模块的能力之一，请参考[增强分析模块部署](https://tencent.github.io/CodeAnalysis/zh/quickStarted/enhanceDeploy.html)文档进行部署。
+
+
+## CmdInject
+### 概述
+支持的语言：Java
+
+CmdInject 规则用于检查代码中是否存在[`命令行注入漏洞`](https://owasp.org/www-community/attacks/Command_Injection)。
+当使用 childprocess 等模块执行命令时，拼接了用户可控的输入，会导致命令执行漏洞。攻击者利用漏洞可以控制目标主机或者容器。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String cmd = req.getParameter("cmd");
+    Runtime rt = Runtime.getRuntime();
+    rt.exec(cmd); // 触发规则
+}
+```
+
+### 修复建议
+需要评估 childprocess 等模块执行命令的使用，应限定或校验命令和参数的内容。
+
+## PathTraversal
+
+### 概述
+支持的语言：Java
+
+PathTraversal 规则用于检查代码中是否存在[`路径穿越漏洞`](https://owasp.org/www-community/attacks/Path_Traversal)。
+操作文件时，应该限定文件的路径范围，如果拼接用户输入到文件路径，可能导致路径穿越漏洞。攻击者利用漏洞可以访问到文件系统上的任意文件，这可能导致信息泄漏等问题。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String image = req.getParameter("image");
+    File file = new File("resources/images/", image); // 触发规则
+
+    if (!file.exists()) {
+        return Response.status(Status.NOT_FOUND).build();
+    }
+
+    return Response.ok().entity(new FileInputStream(file)).build();
+}
+```
+
+### 修复建议
+按业务需求，使用白名单限定后缀范围，校验并限定文件路径范围。
+
+## SQLInject
+
+### 概述
+支持的语言：Java
+
+SQLInject 规则用于检查代码中是否存在[`SQL注入漏洞`](https://en.wikipedia.org/wiki/SQL_injection)。
+错误的拼接用户可控的值到 sql 语句，可能导致 sql 注入漏洞。攻击者可以修改 sql 语法来更改查询的目标或结果，泄露数据库敏感信息，也可以使用SQL文件操作攻击底层Web服务器。如果使用该 sql 查询进行授权认证，攻击者还可以用于提权。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String id = req.getParameter("id");
+    Connection conn = null;
+    Statement statement = null;
+    ResultSet rs = null;
+
+    Class.forName("com.mysql.cj.jdbc.Driver");
+    conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/sec_sql", "root", "admin888");
+    String sql = "select * from userinfo where id = " + id;
+    statement = conn.createStatement();
+    statement.executeUpdate(sql); // 触发规则
+}
+```
+
+### 修复建议
+SQL 语句默认使用预编译并绑定变量，使用安全的ORM操作。
+
+## SSRF
+
+### 概述
+支持的语言：Java
+
+SSRF 规则用于检查代码中是否存在[`服务端请求伪造漏洞 SSRF(Server-side request forgery)`](https://en.wikipedia.org/wiki/Server-side_request_forgery)。
+攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。
+
+### 示例
+```java
+import org.springframework.context.annotation.Configuration;
+import org.springframework.security.config.annotation.web.builders.HttpSecurity;
+import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
+import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
+
+@EnableWebSecurity
+@Configuration
+public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
+  @Override
+  protected void configure(HttpSecurity http) throws Exception {
+    http
+      .csrf(csrf ->
+        csrf.disable() // 触发规则
+      );
+  }
+}
+```
+
+### 修复建议
+限定访问网络资源地址范围，请求网络资源应加密传输。
+
+## XSS
+
+### 概述
+支持的语言：Java
+
+XSS 规则用于检查代码中是否存在[`跨站脚本攻击漏洞 XSS(Cross-site scripting)`](https://en.wikipedia.org/wiki/Cross-site_scripting)。
+如果 web 页面在动态展示数据时使用了用户的输入内容，没有对输入的内容过滤或者进行转义，黑客可以通过参数传入恶意代码，当用户浏览该页面时恶意代码会被执行。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String id = request.getParameter("id") != null ? request.getParameter("id") : "0";
+    Doc doc = getdetailsById(id);    
+    byte b[] = doc.getUploaded();        
+    try {
+        response.setContentType("APPLICATION/OCTET-STREAM");
+        String disHeader = "Attachment;Filename=" + doc.getName();
+        response.setHeader("Content-Disposition", disHeader);
+        ServletOutputStream out = response.getOutputStream();
+        out.print(b); // 触发规则
+    }
+}
+```
+
+### 修复建议
+
+在输出所有用户可控的数据时, 对数据做转义或者编码。

doc/en/quickStarted/enhanceDeploy.md

@@ -24,12 +24,16 @@ TCA 增强分析模块，需要用户额外部署 License 鉴权微服务，并
 ### 准备
 - 一台 CLS 微服务专属机器，CLS 微服务需要跟该机器绑定
 
+::: warning
 **注意：不能随意删除CLS目录**
+:::
 
 ### 步骤
 1. 在 TCA 源码中[`server/cls`](https://github.com/Tencent/CodeAnalysis/tree/main/server/cls) 目录下执行以下命令，获取 `Server ID` 和 `Client License`
 
+::: warning
 **注意：需要在 CLS 目录下执行命令**
+:::
 
 ```shell
 $ ./cls server
@@ -77,21 +81,32 @@ tommyzhang@tencent.com
 | 首次登记的机器码 | xxx |
 | 体验申请用途 | xxx |
 
-4. 收到 TCA 团队回复邮件之后，在 CLS 目录下的[`config.yaml`](https://github.com/Tencent/CodeAnalysis/blob/main/server/cls/config.yaml)文件中填写License  
+4. 收到 TCA 团队回复邮件之后，在 CLS 目录下的 [`config.yaml`](https://github.com/Tencent/CodeAnalysis/blob/main/server/cls/config.yaml) 文件中填写License  
 
 ::: warning
-注意：遵从yaml格式，
-比如：
-- 键值对中，冒号 `:` 后面跟一个空白字符，示例 `key: value`.
+注意：遵从 yaml 格式，比如：
+- 键值对中，冒号 `:` 后面跟一个空白字符，示例 `key: value`。
 :::
 
-5. 执行以下命令启动CLS
+5. 执行以下命令启动 CLS
 
 ```shell
 ./cls server -d
 ```
 
-6. 启动 TCA 分析任务
+6. 验证 CLS 进程正常启动
+
+```bash
+# 查找是否存在CLS进程
+ps aux|grep cls
+```
+
+::: warning
+注意：如果以上命令没有发现 CLS 的进程，则说明 CLS 没有正常启动。  
+请尝试更改 [`config.yaml`](https://github.com/Tencent/CodeAnalysis/blob/main/server/cls/config.yaml) 文件中的 port 为其他 port，比如8080，目前默认是80端口，然后重新执行步骤5的命令。
+:::
+
+7. 启动 TCA 分析任务
 在 TCA 平台的分析方案里面勾选独立工具相关的规则包，比如依赖组件分析规则包，然后启动一次分析任务，执行正常则表明设置生效。
 
 ### CLS 运维

doc/zh/guide/代码检查/规则包/enhanced_safety_java.md

@@ -0,0 +1,133 @@
+# 【Java】强化安全规则包-使用手册
+针对 Java 语言的强化代码安全规则包，属于 TCA 增强分析模块的能力之一，请参考[增强分析模块部署](https://tencent.github.io/CodeAnalysis/zh/quickStarted/enhanceDeploy.html)文档进行部署。
+
+
+## CmdInject
+### 概述
+支持的语言：Java
+
+CmdInject 规则用于检查代码中是否存在[`命令行注入漏洞`](https://owasp.org/www-community/attacks/Command_Injection)。
+当使用 childprocess 等模块执行命令时，拼接了用户可控的输入，会导致命令执行漏洞。攻击者利用漏洞可以控制目标主机或者容器。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String cmd = req.getParameter("cmd");
+    Runtime rt = Runtime.getRuntime();
+    rt.exec(cmd); // 触发规则
+}
+```
+
+### 修复建议
+需要评估 childprocess 等模块执行命令的使用，应限定或校验命令和参数的内容。
+
+## PathTraversal
+
+### 概述
+支持的语言：Java
+
+PathTraversal 规则用于检查代码中是否存在[`路径穿越漏洞`](https://owasp.org/www-community/attacks/Path_Traversal)。
+操作文件时，应该限定文件的路径范围，如果拼接用户输入到文件路径，可能导致路径穿越漏洞。攻击者利用漏洞可以访问到文件系统上的任意文件，这可能导致信息泄漏等问题。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String image = req.getParameter("image");
+    File file = new File("resources/images/", image); // 触发规则
+
+    if (!file.exists()) {
+        return Response.status(Status.NOT_FOUND).build();
+    }
+
+    return Response.ok().entity(new FileInputStream(file)).build();
+}
+```
+
+### 修复建议
+按业务需求，使用白名单限定后缀范围，校验并限定文件路径范围。
+
+## SQLInject
+
+### 概述
+支持的语言：Java
+
+SQLInject 规则用于检查代码中是否存在[`SQL注入漏洞`](https://en.wikipedia.org/wiki/SQL_injection)。
+错误的拼接用户可控的值到 sql 语句，可能导致 sql 注入漏洞。攻击者可以修改 sql 语法来更改查询的目标或结果，泄露数据库敏感信息，也可以使用SQL文件操作攻击底层Web服务器。如果使用该 sql 查询进行授权认证，攻击者还可以用于提权。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String id = req.getParameter("id");
+    Connection conn = null;
+    Statement statement = null;
+    ResultSet rs = null;
+
+    Class.forName("com.mysql.cj.jdbc.Driver");
+    conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/sec_sql", "root", "admin888");
+    String sql = "select * from userinfo where id = " + id;
+    statement = conn.createStatement();
+    statement.executeUpdate(sql); // 触发规则
+}
+```
+
+### 修复建议
+SQL 语句默认使用预编译并绑定变量，使用安全的ORM操作。
+
+## SSRF
+
+### 概述
+支持的语言：Java
+
+SSRF 规则用于检查代码中是否存在[`服务端请求伪造漏洞 SSRF(Server-side request forgery)`](https://en.wikipedia.org/wiki/Server-side_request_forgery)。
+攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。
+
+### 示例
+```java
+import org.springframework.context.annotation.Configuration;
+import org.springframework.security.config.annotation.web.builders.HttpSecurity;
+import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
+import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
+
+@EnableWebSecurity
+@Configuration
+public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
+  @Override
+  protected void configure(HttpSecurity http) throws Exception {
+    http
+      .csrf(csrf ->
+        csrf.disable() // 触发规则
+      );
+  }
+}
+```
+
+### 修复建议
+限定访问网络资源地址范围，请求网络资源应加密传输。
+
+## XSS
+
+### 概述
+支持的语言：Java
+
+XSS 规则用于检查代码中是否存在[`跨站脚本攻击漏洞 XSS(Cross-site scripting)`](https://en.wikipedia.org/wiki/Cross-site_scripting)。
+如果 web 页面在动态展示数据时使用了用户的输入内容，没有对输入的内容过滤或者进行转义，黑客可以通过参数传入恶意代码，当用户浏览该页面时恶意代码会被执行。
+
+### 示例
+```java
+void bad(HttpServletRequest req, HttpServletResponse resp){
+    String id = request.getParameter("id") != null ? request.getParameter("id") : "0";
+    Doc doc = getdetailsById(id);    
+    byte b[] = doc.getUploaded();        
+    try {
+        response.setContentType("APPLICATION/OCTET-STREAM");
+        String disHeader = "Attachment;Filename=" + doc.getName();
+        response.setHeader("Content-Disposition", disHeader);
+        ServletOutputStream out = response.getOutputStream();
+        out.print(b); // 触发规则
+    }
+}
+```
+
+### 修复建议
+
+在输出所有用户可控的数据时, 对数据做转义或者编码。