🎨增加示例公共方法-命令行注入符号检查

bensonhome · bensonhome · commit 20e8740ae3b8 · 2023-03-16T16:59:46.000+08:00
diff --git a/README.md b/README.md
@@ -2,7 +2,8 @@
 
 ## 开发指引
 1. 修改`src/main.py`，按需实现工具逻辑。
-2. `tool.json`文件里声明了2个字段，`check_cmd`和`run_cmd`，对应`src/main.py`中需要实现的2个执行命令。
+2. 如果工具逻辑中需要执行命令行，请检查命令行字符串是否存在注入符号，防止命令行注入漏洞（参考`src/main.py`中的`__detect_injection_symbols`方法）
+3. `tool.json`文件里声明了2个字段，`check_cmd`和`run_cmd`，对应`src/main.py`中需要实现的2个执行命令。
    - `check_cmd`：
      - 功能：判断当前执行环境是否满足工具要求。
        >比如某些工具只能在linux下执行，需要判断当前是否为linux环境。
diff --git a/src/main.py b/src/main.py
@@ -12,6 +12,7 @@
 """
 
 import os
+import re
 import json
 import fnmatch
 import argparse
@@ -135,6 +136,30 @@ def __get_path_filters(self, task_params):
             "re_exclusion": regex_exlucde_paths
         }
 
+    def __detect_injection_symbols(self, cmd_str, symbols=True, raise_exception=True):
+        """检测可注入的符号，防止命令行注入
+        :param cmd_str: <str> 命令行字符串
+        :param symbols: <bool|regexp> 检查命令注入符号，默认为True，检查全部；指定regexp（正则表达式）时，检查传入的指定符号。
+                                      全部注入符号正则表达式为 "\n|;|&+|\|+|`|\$\("
+        :param raise_exception: <bool> 发现注入符号时，是否抛异常，默认抛异常
+        """
+        if isinstance(symbols, bool) and symbols is True:
+            symbols = "|".join([
+                "\n",
+                ";",
+                "&+",
+                "\|+",
+                "`",
+                "\$\(",
+            ])
+        if isinstance(symbols, str):
+            match_chars = re.findall(symbols, cmd_str)
+            if match_chars:
+                if raise_exception:
+                    raise Exception(f"Find Injection Symbols({match_chars}) in command: {cmd_str}")
+                else:
+                    print(f"Find Injection Symbols({match_chars}) in command: {cmd_str}")
+
     def __scan(self):
         """
         扫码代码
@@ -190,6 +215,8 @@ def __scan(self):
                 print("[debug] get diff files: %s" % diff_files)
 
         # todo: 此处需要自行实现工具逻辑,输出结果,存放到result列表中
+        # todo: 如果需要执行命令行（比如subprocess调用），请调用 __detect_injection_symbols 方法检查命令行字符串是否存在注入符号，防止命令行注入漏洞
+
         # todo: 这里是demo结果，仅供展示，需要替换为实际结果
         demo_path = os.path.join(source_dir, "run.py")
         result = [
