Но обо всём по порядку.

Как он работает — ещё про алгоритм

Алгоритм ищет в коде вызовы функций, отправляющие запросы на сервер. Но как, глядя на вызов, понять, что он отправляет на сервер запрос? И как понять, какой именно запрос отправляется? По идее, если вызываемая функция определена где-то в коде, можно было бы проанализировать её код, и всё понять. Но в реальности это может быть не так-то просто — многие современные JS-библиотеки устроены довольно сложно, а JavaScript-код тяжело анализировать статически. Как упоминалось в первом посте, даже с библиотекой jQuery, самой популярной в интернете, у существующих статических анализаторов есть проблемы. Поэтому мы используем сигнатуры библиотечных вызовов и модели библиотек, встроенные в анализатор.

Сигнатуры библиотечных вызовов

В анализатор встроен набор сигнатур, по которым он понимает, что вызов в коде — это вызов отправляющей запрос на сервер функции. Самые простые сигнатуры — те, которые мы добавили изначально, и которые активно используем до сих пор — работают просто по названиям функций. То есть, в анализатор просто встроено знание о том, что, если вызывается метод $.ajax, с именем объекта $ и именем метода ajax, то он отправляет запрос на сервер. Точно так же, как анализатор знает, что отправкой запросов занимается функция fetch и методы экземпляров класса XMLHttpRequest. Мы добавили такие сигнатуры для ряда популярных библиотек: jQuery, Angular, Axios. Благодаря ним анализатор, увидев $http.post(...), axios(...) или jQuery.post(...), поймёт, что это места отправки запросов на сервер. В него заложен список имён. Могут ли эти сигнатуры не сработать? Конечно. Достаточно было бы переименовать библиотечный объект или функцию, и вызов не найдётся. И всё же, нередко их достаточно. Разработчики навряд ли сами будут переименовывать библиотечные объекты: для читаемости кода лучше, чтобы вызов имел привычный вид. Тем не менее, функции и объекты библиотек могут быть переименованы при упаковке бандлерами, особенно в сочетании с минификацией. А некоторые библиотеки вообще не рассчитаны на то, чтобы ими пользовались через какой-то глобальный объект или функцию со стандартным названием. Поэтому в анализатор встроены и более сложные виды сигнатур — например, такие, которые распознают функцию по виду её кода (AST-сигнатуре на тело функции), и дальше, в местах использования, матчат её по значению, а не по имени.

Модели библиотек

Хорошо, вот мы нашли вызовы, постарались вычислить их аргументы. Но имя функции вместе с аргументами это, хоть и уже полезно, ещё не достаточно для сканера, чтобы искать уязвимости. Всё-таки ему нужны готовые HTTP-запросы. Сейчас мы решаем эту задачу довольно-таки «в лоб»: для всех функций, для которых у нас есть сигнатуры, мы написали руками код, который примерно моделирует их работу, то есть выданный анализатором набор аргументов преобразует в HTTP-запрос, который был бы отправлен таким вызовом с такими аргументами. Тут есть такая особенность, что эти аргументы не всегда полностью конкретные — какие-то значения могут быть неизвестными. При таких неполных данных мы хотели бы не падать с исключением (что вполне имеет право делать реальная библиотека), а всё таки выдать какой то результат, сохранив настолько много информации, насколько это возможно. В самом плохом случае URL-адрес может быть полностью неизвестным (или всё тело запроса целиком) — в этом случае анализатор такой запрос не выдаёт. Подробнее эту часть описывать тут не хочется, она довольно скучная: каждая «модель» библиотеки пытается учитывать разные нюансы работы библиотеки, а также разные случаи когда данные получились неконкретными. Лучше гляньте код.

Потому что мы его выложили.

Relwarc

Мы выложили код нашего анализатора в open source. А также сделали публично-доступный сервис relwarc.solidpoint.net, позволяющий запустить анализатор на JS-коде. Мы решили назвать анализатор Relwarc — то есть «сrawler» наоборот. Потому что он решает ту же задачу, что и краулер, но наоборот: пытается определить, какие запросы клиентский код посылает на сервер, но при этом не имитирует действия пользователя на странице, а смотрит на сам код. Работает не динамически, а статически.

Версию кода, которая примерно соответствует тому, что описано в этом и предыдущих постах, можно найти на GitHub, вот по такой ссылке:

https://github.com/seclab-msu/relwarc/tree/vanilla-algorithm

Она же соответствует описанию алгоритма из нашей научной статьи 2021 года.

Сервис relwarc.solidpoint.net умеет анализировать как отдельные JS-файлы, так и веб-страницы. Он предоставляет API и веб-UI, позволяющий вручную позапускать анализатор на чём-нибудь, поиграться с ним. Попробуйте им воспользоваться! Может быть он найдёт для вас новые серверные ручки в каком-то коде, который нет времени или сил разбирать вручную. Если найдёте баг или будет идея что улучшить — смело создавайте issue в репозитории на GitHub (или сразу pull-реквест)!

Что в итоге

Итак, в этом и двух предыдущих постах описан наш алгоритм анализа JS. Это и есть полный алгоритм, который мы разработали? Ну, на самом деле не совсем. Можно заметить, что ссылка на GitHub выше ведёт на тег, который соответствует не самому новому коммиту в репозитории. С тех пор, как мы разработали эту, базовую версию, мы доработали в алгоритме немало всего — определение возвращаемых значений функций, поддержку классов, бандлеров, ещё ряд улучшений. Чтобы описать их все и трёх постов маловато и, к тому же, алгоритм, описанный в статье, уже вполне себе работал, и мы применяли его на практике.

Метрика качества

Ну хорошо, вот мы делали этот алгоритм, реализовали там анализ цепочек вызвовов, добавляли такие улучшения и эдакие — и что же в итоге? Что мы получили? Этот анализатор работает вообще? Он нормально работает? Находит что-то? Чтобы ответить на этот вопрос, нам хорошо было бы иметь какой-то бенчмарк, позволяющий мерить качество работы алгоритма. Скажем, набор приложений или хотя бы веб-страниц, реальных или похожих на современные реальные, где из клиентского JS отправлялись бы запросы, и для которых был бы известен правильный ответ — какие именно запросы отправляются. Тогда мы могли бы сравнивать набор правильных запросов с тем, что выдал наш анализатор, и считать метрику качества. Мы не нашли такого бенчмарка (из похожего нашёлся WIVET, но он всё-таки немного про другое). Поэтому мы решили сделать свой! Мы создали датасет из страниц реальных приложений, для которых мы вручную разметили, к каким серверным эндпоинтам отправляет запросы их JS-код (точнее, там есть страница тестового приложения, но только одна — это главная страница Juice Shop). Почти все страницы датасета это страницы случайных сайтов из интернета — с сайтов из списка Alexa Top 1 Million или из публичных Bug Bounty программ. Этот датасет мы тоже решили опубликовать, вот он:

https://github.com/seclab-msu/ajax-page-dataset

Кроме самих страниц и разметки (наборов «правильных» запросов, которые должны найтись) в этом репо есть скрипты для прогона по нему анализатора и подсчёта метрик. Главная метрика качества, которую мы используем — это среднее покрытие. То есть считаем для каждой страницы процент найденных запросов и берём среднее значение этих процентов между всеми страницами. Сейчас для последней версии анализатора среднее покрытие около 40%.

В заключение

Задача статического анализа в общем случае неразрешима, а анализировать JavaScript-код особенно тяжело. Так что сделать анализатор, который работал бы идеально, полно и точно, в 100% случаев, невозможно. Но мы можем постараться сделать алгоритм, который будет работать в большинстве реальных случаев. Стараться дотянуть процент реальных приложений, на которых он работает, до 80% или 90%. Всегда можно будет сделать хитрый пример кода, на котором алгоритм сломается — ну и что с того, если такой код не будет встречаться почти никогда в реальной жизни? Чтобы понять, как сделать такой анализатор, который будет работать в реальности, нам пришлось не только программировать, но и заниматься исследованием реального кода. Куча времени ушла на изучение того, как устроена отправка запросов и потоки данных, от которых отправляемые запросы зависят.

Сейчас среднее покрытие на нашем датасете составляет 40% — это много или мало? Конечно, было бы классно иметь скор в те самые 80% или 90%. Но всё-таки JavaScript анализировать статически непросто, а мы старались сделать наш датасет более-менее представительным — то есть, чтобы, глядя на скор на нём, можно было составлять какое-то представление о качестве на случайно взятом случайном сайте из интернета. Ни один из существующих академических статических анализаторов JS не справляется с реальными современными веб-страницами. Следуя принципу, упомянутому в первом посте, мы решили начать с чего-то простого, чтобы не сделать сложную махину, которая так никогда и не сработает на чём-то реальном (или которую мы даже не допишем до конца). Начать с чего-то простого, и затем итеративно это улучшать, повышая скор и повышая сложность. Поддерживая новые фичи, новые особенности кода. В результате такой, более простой и учитывающий особенности реального кода анализатор (заточенный под решаемую задачу) способен справляться с реальными страницами, и часто у него получается обработать их довольно быстро — меньше чем за минуту, иногда за несколько минут.

Значит ли это, что этот анализатор всегда теперь надо развивать только итеративно, понемногу добавляя или меняя что-то? На самом деле нет — иногда надо всё-таки переписывать софт заново, передылывая его существенно. Быть может, построив алгоритм на немного других принципах. Но ценными останутся показатели на датасете, то, какие запросы находил прошлый алгоритм, и за какое время. То, какие тесты он проходил. То есть полученные знания. Если при разработке нового алгоритма он в чём-то будет уступать старому, всегда можно будет глянуть — а почему старому это удавалось? За счёт каких принципов работы он справлялся с какой-то конструкцией кода.

И, наконец, этот статический анализатор не заменяет, а дополняет динамические краулеры. Когда мы начали его разрабатывать, у нас была идея о том, что есть запросы, которые трудно стриггерить действиями в интерфейсе. Но всегда остаются и такие запросы, которые динамически найти легче. Потребовать 99% покрытия значило бы потребовать, чтобы статический анализатор везде полностью справлялся сам. Может такой алгоритм и можно сделать, но сейчас явно видно, что где-то разумнее применить его, а где-то проще будет воспользоваться динамическим анализом. Ни один из этих методов не является панацеей, и наибольшее покрытие получится, если применить и то и другое.

И всё таки, как?

Как уже говорил, идейно алгоритм работает так же, как то, что было описано в прошлом посте. Но есть ряд отличий.

Поддерживаемые типы данных и операции

Анализатор поддерживает ряд типов данных, помимо строк и UNKNOWN. Среди них объекты, массивы, числа, boolean, ну и undefined тоже (да-да, напомню, что для undefined в JavaScript есть отдельный тип). То есть для этих типов анализатор превращает в значения их литералы (в том числе всякие [1, 2, 3] и {foo: "bar", abc: [true]}) и вычисляет результаты некоторых операций с ними. В том числе чтение поля объекта/массива (a[x], ob.prop) и запись поля (a[x] = 123, ob.prop = v).

Также поддерживаются функциональные значения — для объявлений функций и функциональных выражений (литералов, если угодно) анализатор тоже вырабатывает специальные значения, которые могут храниться в его memory.

То есть для вот такого кода

function f() {
    return 123;
}
var g = function(x) {
    return x * 25;
}
var k = f;
var l = g;

Анализатор поймёт, что переменные f и k указывают на первую функцию (которая возвращает 123), а g и l — на вторую (которая возвращает свой аргумент, умноженный на 25).

Эти функциональные значения содержат в себе ссылку на код соответствующей функции (точнее, на её AST). Это пригодится для межпроцедурного анализа, про него расскажу дальше.

Кстати, можно заметить, что значения, про которые знает анализатор, могут не только непосредственно в memory быть записаны — поскольку поддерживаются объекты и массивы, значения могут «сидеть» в полях объектов/массивов. Возможно, на какой-то глубине (с несколькими уровнями вложенности).

Ещё анализатор умеет вычислять результаты вызовов некоторых встроенных в язык функций, включая методы работы со строками (.concat(...), .substr(...) и т. д.). Кроме того, поддерживаются template strings. Это вот такие штуки:

`the value is ${x}`

И, как и раньше, если результат какой-то операции вычислить не удаётся, то результатом будет UNKNOWN. Такое может быть, если операция не поддерживается анализатором, или если неизвестно участвующее в операции значение. К примеру, если надо вычислить x = a[3], а у a значение UNKNOWN, то и x станет UNKNOWN.

Многопроходный анализ

Алгоритм анализа, который был описан в предыдущем посте, делает один обход AST-дерева в глубину — это более-менее соответствует проходу по коду в прямом порядке «от начала до конца». Но в реальности инструкции программы не всегда выполняются в том же порядке, в котором они написаны в коде. Функции, например, не обязаны вызываться в том порядке, в котором они в коде написаны. Что если нам попадётся какой-то такой код:

function f() {
    fetch(baseURL + '/users/list');
}

baseURL = '/blog/api';
f();

Здесь без объявления используется глобальная переменная baseURL. Или такой:

function createRequestService() {
    var apiVer, section;
    function getSettings() {
        fetch('/api/' + apiVer + '/' + section + '/settings');
    }
    function notifyOnline() {
        fetch(
            '/api/' + apiVer + '/' + section + '/status?online=true',
            { method: 'POST' }
        );
    }
    function initialize() {
        apiVer = '2.1';
        section = 'shop';
    }
    return { getSettings, notifyOnline, initialize };
}

В обоих случаях переменные задаются по коду дальше, чем используются. Можно сказать, что потоки данных «текут» не всегда от начала программы к концу, иногда они «текут обратно». Для того чтобы с таким справляться, анализаторы делают несколько проходов анализа по коду. Чтобы алгоритм был легковесным, мы решили начать с двух проходов — предварительного, на котором анализатор постарается пособирать заданные значения везде где найдутся, и, следующего, основного. Причём обрабатывает AJAX-вызовы анализатор только на основном проходе, а предварительный используется только для сбора значений в программе. Для случаев в двух сниппетах кода выше этого уже хватит. Для каких-то более сложных случаев уже нет.

Вообще, классические статические анализаторы, построенные на стандартных принципах, делают так — они итерируются по коду, собирая на каждом проходе всё больше информации о его работе, и делают это до тех пор, пока процесс не сойдётся — точнее, пока очередной проход по коду не добавит никакой новой информации. Чтобы это всегда срабатывало, надо чтобы алгоритм анализа был построен особым образом — чтобы процесс гарантированно сходился. Даже когда он сходится, бывает такое, что сходится слишком долго. Кстати, напомню, что узнать больше про классические алгоритмы анализа можно по ссылкам из прошлого поста.

По тому, как сделан наш алгоритм, можно увидеть, что идейно он заточен под нахождение значений, которые на самом деле «константные» — которые задаются один раз, причём задаётся какое-то конкретное значение (зафиксированное в коде, а не пришедшее извне). Делаем расчёт на то, что «фиксированные» части запроса, которые и определяют, какая серверная ручка задействуется, будут заданы таким образом. Переменные же части, параметры запросов (юзернеймы, поисковые запросы, количества товаров и т. д.) в коде не найдутся, ну может они нам и не нужны.

Межпроцедурный анализ

Процесс отправки запроса часто вовлекает в себя работу нескольких функций. Надо понимать, как данные передаются между ними. При разборе разных сэмплов реального кода, у нас это чаще всего выливалось в вопрос «какие данные приходят из аргументов функции?». Мы решили не делать полноценный межпроцедурный анализ для всех функций программы, так как решили, что это слишком тяжеловесно, а вместо этого решили сделать таргетированный анализ только для интересующих точек программы (позже мы, кстати, несколько пересмотрели это решение, но об этом в другой раз). Возвращаемые значения обычных, объявленных пользователем, функций мы решили для начала не искать — будем считать что они возвращают UNKNOWN. Сосредоточимся на аргументах.

Чтобы анализ получился таргетированным и искал аргументы только там, где нужно, надо как-то понять: а где же нужно. Для этого добавлено ещё одно специальное значение FROM_ARG. Оно в целом аналогично UNKNOWN, то есть это такое уникальное значение, которое обозначает что-то, для нас неизвестное. Но оно дополнительно несёт информацию о том, что значение пришло именно из формальных аргументов функции. При анализе тел функций анализ будет считать, что значения формальных аргументов это FROM_ARG.

Если далее это значение дойдёт до места вызова AJAX-функции ($.ajax например), то есть среди её аргументов будет FROM_ARG, будет сделан вывод, что отправляемый запрос зависит от формальных аргументов функции, сделавшей AJAX-вызов. А значит, надо поискать вызовы этой функции и то, какие там в неё передаются аргументы.

Как же будем искать? У нас есть наша мапа memory, в которой записаны значения переменных. При этом, как говорилось выше, анализатор поддерживает функциональные значения. Возьмём функцию, чьи вызовы мы хотим найти (функцию f в данном случае), пройдёмся по memory, взяв оттуда все переменные, указывающие на функциональное значение этой функции f. Ну то есть в простейшем случае это будет просто переменная f, но в теории могут быть и другие переменные, если, например, было присваивание типа other_func = f. Для каждой такой переменной пройдёмся снова по коду, ища места вызова, где на месте вызываемой функции стоит эта переменная — их будем считать местами вызова этой искомой функции f. Вот для них нам хорошо бы понять, какие аргументы в вызов передаются. Предположим, что найденное место вызова находится в какой-то другой функции, фукнции g.

Проделаем анализ тела этой функции g — то есть обход её тела в глубину таким же образом, как и раньше, но, когда дойдём до искомого места вызова f, то вычислим аргументы вызова и перейдём на начало кода f. В качестве значений формальных аргументов f на этот раз возьмём не FROM_ARG, а фактические значения, которые только что вычислили — и дальше будем выполнять анализ, обходя AST-дерево f от его корня. Таким образом мы «проэмулируем» вызов f с вычисленными аргументами. Теперь, когда, обходя код f, мы дойдём до AJAX-вызова, то имеем шанс найти уже более точные аргументы этого вызова.

Такой анализ повторим для всех найденных мест вызова.

Ещё может быть, что вызов нашёлся вне какой-либо функции, на top level. Тогда проделаем анализ всего глобального контекста, ещё один обход всего кода — то есть обработаем этот случай так, как будто весь код находится внутри одной гигантской всеобъемлющей функции. Это довольно неоптимально, но для простоты используем сейчас такой вариант.

Цепочки вызовов

При поиске аргументов может потребоваться проанализировать цепочку больше чем из двух функций. Допустим, у нас была какая-то функция f, которая делала AJAX-вызов, мы нашли её вызов в какой-то другой функции (g). Может быть, что g передаёт в вызов f какие-то свои аргументы (или данные, зависящие от них). Мы сможем заметить это по тому, что при анализе цепочки f -> g до AJAX-вызова снова дойдёт значение FROM_ARG. Это будет означать, что нужно попробовать проанализировать цепочку большей длины — поискать в коде теперь уже вызовы g и повторить весь процесс с ними.

Такой анализ цепочек вызовов делаем после основных, обходящих весь код, проходов анализа. Таким образом анализ делается более таргетированным — он сколько-то смотрит весь код вообще, но потом более тщательно анализирует интересующие участки. Тут используется то, что AJAX-вызовы мы распознаём синтаксически, по именам — и поэтому «более интересные точки», начала цепочек вызова, получается выделять «дёшево», это не требует анализа само по себе. Но, с другой стороны, не все AJAX-вызовы так найдутся. Кроме того, очевидно, этот метод сможет построить цепочки вызова только для вызовов free-standing функций, точнее, вызовов, где функция задана как переменная, для которой анализатор смог найти значение. Вызовы методов объектов (x.f()) таким алгоритмом не поддерживаются, как и вызовы функций, которые, скажем, были переданы как аргументы (колбеков).

Специальные объекты

До этого и в этом, и в предыдущем посте термин AJAX-вызов использовался так, как будто это единый вызов функции, получающий полную информацию о запросе, и отправляющий этот запрос. Но это не всегда так, иногда отправка запроса из JS делается несколькими вызовами. На самом деле, первый браузерный интерфейс для отправки запросов из JS, XMLHttpRequest, как раз работает так, что надо сделать несколько вызовов. Как минимум, надо создать объект класса с помощью new, затем вызвать у созданного объекта метод .open(...), и затем .send(...). Как мы находим такое своим анализатором?

Если совсем кратко, идея такая — будем создавать специальный объект, который, можно сказать, моделирует экземпляр этого XMLHttpRequest. Пусть этот объект будет одним из поддерживаемых анализатором значений и передаётся туда-сюда при присваиваниях, обращениях к полям объектов и т. д. Будем создавать его когда увидим начало использования XMLHttpRequest, и пусть этот объект запоминает данные, из которых формируется запрос. Встретив вызов someObj.open(...), проверим, не является ли someObj одним из наших специальных объектов, моделирующих XMLHttpRequest. Если да, то пусть он «запомнит» вычисленные аргументы вызова open. Аналогично с методом .setRequestHeader(...), который выставляет заголовки. Встретив .send(...) для нашего объекта, также вычислим аргумент вызова — и в этот момент у нас есть все данные, из которых формируется запрос. Ровно так мы делаем, кстати, для моделирования экземпляров FormData. Объекты FormData используются для составления наборов параметров, и у них, как и у XMLHttpRequest, есть состояние. Вызовы .append(...) или .set(...) добавляют в объект FormData параметры, а потом весь набор параметров отправится, когда объект будет передан в вызов .send(...) (или в вызов fetch(...)). Соответственно, у нас для этого заведён специальный класс FormDataModel, при обработке new FormData() заводится экземпляр этого FormDataModel, при обработке append и set в этот экземпляр записываются данные, при обработке AJAX-вызовов эти данные используются.

Так же можно было бы сделать и с XMLHttpRequest — вырабатывать специальное значение при обработке new XMLHttpRequest. Но мы делаем не совсем так.

Хак для XMLHttpRequest

При анализе реального кода мы заметили, что, при использовании XMLHttpRequest, вызовы .open(...) и .send(...) всё время находятся в одной и той же функции. В теории можно было бы завести объект XMLHttpRequest, сделать от него .open(...), после чего передать объект куда-то в другую функцию, где от него потом бы сделали .send() — но так никто не делает. Во всех случаях, что мы видели, всё происходит в одной и той же функции, и объект в обоих вызовах задан одинаково (часто это одна и та же переменная). Типа такого

// ...
xhr.open("POST", url, true);
// ...
xhr.send(data);
// ...

При этом new XMLHttpRequest() нередко выносят в отдельную функцию — вспомогательную функцию, которая создаёт объект и возвращает его, после чего им воспользуется другой код (такую вспомогательную функцию делают для поддержки старых браузеров, где нужно использовать класс ActiveXObject или что-то подобное). Будет обидно, если наш «data-flow» анализ не сможет проследить путь объекта XHR от new до места использования, и из-за этого отправка запроса не найдётся, в то время как open и send всё время идут вместе. Особенно учитывая, что возвращаемые значения пользовательских функций мы для начала решили вообще не моделировать. Поэтому решено было сделать так:

• Cоздавать объект, моделирующий XMLHttpRequest, при виде .open(...).
• Идентифицировать этот объект, не обращаясь к memory, а просто по «виду» AST-вершины, отвечающей за объект, чей метод вызывается. То есть слева от .send(...) должно стоять то же самое (синтаксически), что и слева от .open(...).

За всё время эта эвристика ни разу не выдала false positive — да, может быть мы создадим «лишние» объекты на какие-нибудь вызовы open, но мы ни разу не видели такого совпадения, чтобы за этим open последовал send от того же объекта, и это не было использование XMLHttpRequest.

Чтож, пожалуй, для этого поста деталей достаточно. Спасибо, что дочитали его! Продолжение — в третьем посте про алгоритм анализа JS, вот тут.

Кстати, мы писали про это научные статьи (вот первая и основная из них), ещё я делал про это доклад в 2022 году (видео, слайды и другие материалы). Здесь будет примерно то же самое что и там, но написанное в блог-постовом формате.

Почему

Почему мы решили этим заняться? Ещё давным-давно во время пентестов мы периодически находили в клиентском JS отправку запросов к серверным ручкам, которые из интерфейса не задействовались. Бывало, что среди JS-кода на странице был код, соответствующий страницам админки, бывало такое, что вообще весь клиентский код сайта бандлился вместе и присутствовал на странице. Иногда в проверке аутентификации на сервере бывали ошибки (её могли просто забыть сделать) и тогда, найдя запрос в JS, мы могли совершить действие, которое текущему пользователю не должно было быть доступно (в том числе такое бывало и с админкой). Мы читали клиентский код и понимали, что за запрос отправляется. Так может быть, подумали мы, это можно делать как-то автоматически?

Запросы, отправляемые элементами HTML-разметки, найти несложно, а вот с JS труднее. Чтобы находить, какие запросы отправляет клиентский JS, сканеры обычно используют динамический краулинг — взаимодействие со страницами сайта с помощью управляемого браузера (headless браузера, например Headless Chrome). Это неплохо работает, но этот метод точно не найдёт такие запросы, как хотели находить мы — ведь для них нет элементов интерфейса, есть только JS-код, который был оставлен ненамеренно. Кроме того, даже с действиями, которые из интерфейса вызвать можно, у динамического краулера бывают проблемы — бывает что интерфейс страницы сложный, такой, в котором возможно много действий. А какие комбинации из этих действий приведут к отправке запроса краулер не знает. Чтобы найти запрос, который отправится после длинной цепочки действий, краулеру может потребоваться перепробовать слишком много всего, это может занять вечность. Поэтому мы решили попробовать сделать штуку, которая бы извлекала отправляемые запросы, не взаимодействуя с интерфейсом, а непосредственно из самого кода. То есть анализатор JavaScript-кода. Мы решили, что начать надо со статического анализа — ведь статический анализ умеет покрывать весь код вообще, независимо от того, насколько сложно его достичь при реальном выполнении.

Мы видим глазами, какой запрос отправляет функция в этом коде — должно же быть можно как-то автоматически это найти?

Ну и мы подумали: ведь куча сайтов отправляет с помощью клиентского JS запросы, при этом клиентский JS любого сайта доступен — значит, наш анализ можно применить к очень многим сайтам, потенциально найдя запросы к новым серверным ручкам — а значит, повысив вероятность найти уязвимость. Звучит прикольно!

Существующие анализаторы

JavaScript очень распространён, он уже давно главный и де-факто единственный язык для клиентской части сайтов — наверняка уже существуют какие-то статические анализаторы JS, верно? Может, можно использовать какой-то из них?

Выяснилось, что не совсем. Да, статические анализаторы JS вроде бы и есть, даже немало, но они мало что могут. Потому что JS вообще-то очень тяжело анализировать статически. Существуют несколько известных в научных статьях статических анализаторов (например TAJS, SAFE, WALA) — но все они неспособны анализировать реальные страницы современных сайтов, на любой странице с хоть сколько-нибудь нетривиальным кодом они либо зависают навсегда, либо падают с ошибкой. Либо и то и то (зависают на очень долго и потом падают с ошибкой). Такое происходит даже на простейшей страничке, где есть только библиотека jQuery (при этом jQuery сейчас есть на 77% сайтов). С тулзами не из научных статей ситуация похожая: они либо ломаются на реальном коде, либо дают о нём слишком мало информации.

Вообще, security-ориентированные анализаторы клиентского JS часто используют динамический анализ. Что можно понять — кроме того, что статанализ отпугивает своей сложностью, искать уязвимости в коде, который не получается стриггерить, как будто не так интересно (если уязвимый код не выполняется, то как эксплуатировать уязвимость)?

Это всё означало, что, если мы хотели получить тулзу, которая работает на реальных приложениях, нам нужно было написать свой, новый статический анализатор. А это вообще возможно? Ведь у существующих анализаторов не получилось. И если возможно — то как?

Как

Так как же статически анализировать JavaScript-код веб-страниц? Ну, для начала нам надо получить его. Вот у нас есть URL веб-страницы, как собрать с неё весь JS? Есть несколько способов это сделать, мы в нашем анализаторе выбрали использовать управляемый браузер и его дебаггер. Управляемый браузер ближе всего к реальной среде, в которой рендерятся страницы и выполняется JS (по сути, браузер это и есть реальная среда) — соответственно, у нас меньше шансов получить проблемы из-за расхождений в нюансах парсинга и реализации стандартов веба (а этих нюансов великое множество). Кроме того, с помощью дебаггера мы можем получить любой JS-код, выполненный на странице, откуда бы он ни взялся — был ли он в коде страницы, был ли он загружен по URL, был ли он как-то сложно динамически сформирован и выполнен с помощью eval или Function. Также мы будем знать порядок скриптов — получим их в том же порядке, в котором они в реальности попадали в интерпретатор JS. Давайте посмотрим, как это можно реализовать на примере Headless Chrome. Для этого используем JS-библиотеку puppeteer. Её можно поставить через npm:

npm install puppeteer

Для начала нам надо открыть страницу с нужным URL:

const puppeteer = require('puppeteer');

const url = 'https://www.solidpoint.net/';

(async () => {
    const browser = await puppeteer.launch();
    const page = await browser.newPage();

    await page.goto(url);

    console.log(`loaded page, url: ${page.url()}, title: ${await page.title()}`);

    await browser.close();
})();

Грузить страницу умеем, теперь мы хотим получить выполняемые на ней скрипты — для этого используем Debugger API. Библиотека puppeteer сама по себе не предоставляет методов для работы с этим API, поэтому нам нужно будет вызывать отправку сообщений Chrome DevTools Protocol (CDP) «вручную». Для этого нам надо попросить библиотеку предоставить нам объект-клиент для общения по протоколу CDP:

// ...
(async () => {
    // ...
    const page = await browser.newPage();
    const client = await page.target().createCDPSession();
    // ...
})

Теперь с помощью этого клиента мы можем отправлять CDP-сообщения и получать на них ответы (с помощью await client.send(...)) и подписываться на события, приходящие от браузера (с помощью client.on(...)). Мы подпишемся на событие Debugger.scriptParsed, чтобы нас оповещали о появлении новых скриптов, и используем метод Debugger.getScriptSource, чтобы получать их код.

// ...
(async () => {
    // ...
    const client = await page.target().createCDPSession();
    // в этот массив будем собирать скрипты со страницы
    const pageScripts = [];

    await client.send('Debugger.enable'); // включим дебаггер для этой страницы
    client.on('Debugger.scriptParsed', async function ({ scriptId, url }) {
        const { scriptSource } = await client.send(
            'Debugger.getScriptSource', { scriptId }
        );
        pageScripts.push({ scriptSource, url });
    });
    // мы подготовили сбор скриптов - теперь откроем URL!
    await page.goto(url);
    console.log(pageScripts); // напечатаем что там собралось
    // ...
})();

Теперь наша программа собирает JS-код скриптов, попадающих в интерпретатор во время загрузки страницы.

Что ж, код мы получили, но как его анализировать? Прежде всего, надо преобразовать код из текстового формата в формат, который удобнее обрабатывать программно. Распарсить его. Существует много парсеров JS-кода, вот пара известных примеров: esprima, @babel/parser (раньше он, кстати, красиво назывался Babylon).

Установить их можно, как и puppeteer, с помощью npm. В случае @babel/parser это будет такая команда:

npm install @babel/parser

Распарсить JS с помощью @babel/parser можно вот таким кодом:

const babelParser = require('@babel/parser');

const code = 'y = k*x + 5';
const ast = babelParser.parse(code);

console.log(ast);

Парсер выдаёт абстрактное синтаксическое дерево (abstract syntax tree, обычно его называют сокращённо AST).

AST-дерево для кода «y = k*x + 5»

Окей, вот у нас есть AST-дерево, как нам искать отправляемые на сервер запросы? Как учил меня мой первый тимлид в мире разработки, давайте начнём с чего-то максимально простого. Мы знаем, что запросы в коде чаще всего отправляются вызовами API-функций/методов, начнём с какого-то одного таргета, пусть это будет функция fetch(). Поищем в коде вызовы этого fetch(). Чтобы сделать поиск по всему коду можно рекурсивно обойти всё AST-дерево. Для этого тоже есть готовые библиотеки, в случае Babel это будет @babel/traverse (также ставится через npm). Эта либа предоставляет функцию traverse, которая принимает AST и объект с колбеками. Обойти код в поисках fetch можно с помощью этой либы так:

const babelParser = require('@babel/parser');
const { default: traverse } = require('@babel/traverse');
const fs = require('fs');

const code = fs.readFileSync('sample.js', 'utf8');
const ast = babelParser.parse(code);

traverse(ast, {
    enter: function(path) {
        const node = path.node;
        if (node.type === 'CallExpression') {
            const callee = node.callee;
            if (callee.type === 'Identifier' && callee.name === 'fetch') {
                console.log('fetch found!');
            }
        }
    }
});

Колбек с именем enter вызывается при входе в каждую AST-ноду при обходе дерева. То есть функция в этом коде будет вызвана для вообще всех вершин AST — и мы делаем проверки чтобы опознать интересующую нас. Точнее, нас интересуют вызовы функций - за них отвечает AST-нода типа CallExpression. Далее, мы хотели бы находить не все вызовы вообще, а те, которые выглядят как вызовы функции, данной как идентификатор fetch (AST-вершина c типом Identifier). Кстати, доку по всем видам вершин AST-дерева, которое выдаёт Babel, можно найти тут. А смотреть как выглядит AST-дерево какого-то кода удобно в AST explorer.

Можно попробовать запустить этот код на каком-то таком примере (сохранив пример в sample.js):

function f(someCondition) {
    if (someCondition) {
        fetch('/api/send-data.action?mode=1', {
            method: 'POST',
            headers: {
                'Content-Type': 'application/x-www-form-urlencoded'
            },
            body: 'data=abc123',
        });
    }
}

Код должен выдать fetch found!

Ну хорошо, он нашёл этот вызов, но нам бы хотелось, чтобы он выдавал ещё и его аргументы — данные, которые в него передаются — чтобы понимать, что там отправляется. Для этого код надо будет доработать, чтобы он смотрел на аргументы вызова. Информация о них записана у CallExpression-ноды в поле .arguments. Чтобы аргументы превратить из AST-нод в удобный для чтения код, можно использовать библиотеку @babel/generator — она умеет превращать AST-вершины обратно в код. Ещё, кстати, код можно сделать покороче на счёт использования колбека с именем не enter, а CallExpression — для него traverse будет сам делать проверку типа ноды и вызывать наш колбек только для нод CallExpression. И проверка node.type === 'CallExpression' будет не нужна. Тогда код может принять такой вид:

const babelParser = require('@babel/parser');
const { default: traverse } = require('@babel/traverse');
const { default: generate } = require('@babel/generator');
const fs = require('fs');

const code = fs.readFileSync('sample.js', 'utf8');
const ast = babelParser.parse(code);

traverse(ast, {
    CallExpression: function(path) {
        const node = path.node;
        const callee = node.callee;
        if (callee.type === 'Identifier' && callee.name === 'fetch') {
            const args = [];
            for (const argNode of node.arguments) {
                args.push(generate(argNode).code);
            }
            console.log(`fetch(${args.join(',')})`);
        }
    }
});

При запуске на нашем примере выше он теперь выдаст

fetch('/api/send-data.action?mode=1',{
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded'
  },
  body: 'data=abc123'
})

Это сработало, такой вывод уже может быть полезен. Но всё-таки это не очень интересно. Что если бы URL был задан не прямо строкой в аргументах, а переменной?

Переменные

Что если бы код был каким то таким:

function f(someCondition) {
    var url = '/api/get-data.action?mode=1';
    if (someCondition) {
        fetch(url);
    }
}

Тогда наша программа выдаст на месте первого аргумента не реальное значение, а имя переменной url. Что не очень полезно. Так давайте попробуем добавить поддержку переменных!

Мы можем завести под переменные словарь (Map), куда будем сохранять все переменные, что мы видели. Ключом может быть имя переменной, значением — её значение. При виде объявлений переменных (VariableDeclarator) будем запоминать их в словаре, при использовании - доставать оттуда. Начнём с переменных, инициализированных строковым литералом. Тогда наш обход AST изменится вот так:

const memory = new Map(); // variables

traverse(ast, {
    VariableDeclarator: function(path) {
        const { id, init } = path.node;

        if (init && id.type === 'Identifier' && init.type === 'StringLiteral') {
            memory.set(id.name, init.value);
        }
    },
    CallExpression: function(path) {
        const node = path.node;
        const callee = node.callee;
        if (callee.type === 'Identifier' && callee.name === 'fetch') {
            const args = [];
            for (const argNode of node.arguments) {
                if (argNode.type === "Identifier") {
                    const value = memory.get(argNode.name);
                    args.push(JSON.stringify(value)); // JSON.stringify to add quotes
                } else {
                    // dunno what to do with this node: just convert to source
                    args.push(generate(argNode).code);
                }
            }
            console.log(`fetch(${args.join(',')})`);
        }
    }
});

Этот код справляется с самыми простыми строковыми переменными. Но ведь URL нередко задаётся сложнее.

Выражения

Переменная с URL-адресом может где-то переприсваиваться, задаваться как какое-то выражение от других данных, то есть вполне может быть что-то такое:

function f(someCondition) {
    var url = '';
    var baseURL = '/api',
        mode = '1';
    if (someCondition) {
        url = baseURL + '/send-data.action';
        fetch(url + '?mode=' + mode);
    }
}

Чтобы поддерживать такие случаи, нам будет удобнее ввести уже отдельную функцию вычисления выражений. Также будет полезно завести специальное уникальное значение для случаев, когда значение неизвестно, найти его не удалось.

const UNKNOWN_VALUE = { toString: function() { return '{???}'; } }

function evalExpr(node) {
    switch(node.type) {
    case 'StringLiteral':
        return node.value;
    case 'Identifier':
        if (memory.has(node.name)) {
            return memory.get(node.name);
        }
        break;
    case 'BinaryExpression':
        if (node.operator === '+') {
            return evalExpr(node.left) + evalExpr(node.right);
        }
        break;        
    }
    // тут наши полномочия всё (окончены)
    return UNKNOWN_VALUE;
}

Для задания значения переменной тоже стоит завести отдельную функцию, потому что оно может происходить из нескольких мест — из инициализации при объявлении и при присвоении (AssignmentExpression).

function setVariable(varNode, valueNode) {
    if (varNode.type === 'Identifier') {
        memory.set(varNode.name, evalExpr(valueNode));
    }
}

Тогда наш маленький алгоритм анализа может принять такой вид:

traverse(ast, {
    VariableDeclarator: function(path) {
        if (path.node.init) {
            setVariable(path.node.id, path.node.init);
        }
    },
    // process assignments, not only initializations
    AssignmentExpression: function(path) {
        if (path.node.operator === '=') {
            setVariable(path.node.left, path.node.right);
        }
    },
    CallExpression: function(path) {
        const node = path.node;
        const callee = node.callee;
        if (callee.type === 'Identifier' && callee.name === 'fetch') {
            const args = [];
            for (const argNode of node.arguments) {
                const value = evalExpr(argNode);
                if (value !== UNKNOWN_VALUE) {
                    args.push(JSON.stringify(value));
                } else {
                    args.push(generate(argNode).code);
                }
            }
            console.log(`fetch(${args.join(',')})`);
        }
    }
});

Области видимости

Программа, которую мы сейчас написали, идентифицирует переменные просто по их именам (то есть строкам). Но в JavaScript может быть несколько разных переменных с одинаковыми именами — в разных областях видимости. Наш анализатор сейчас будет их путать. Это может стать проблемой, особенно если в программе много однобуквенных, неуникальных имён. В реальном клиентском коде такое происходит постоянно из-за минификации: имена всех переменных меняются на максимально короткие. Проблема возникла бы, например, в таком коде:

function f(someCondition) {
    var u = '';
    var b = '/api',
        m = '1';
    if (someCondition) {
        u = b + '/get-data.action';
        var errCb = function(err) {
            var u, m;
            u = 'at url addr ' + location.href;
            m = 'msg ' + err.message;
            console.error(`Page ${u}: got error ${m}`);
        }
        fetch(u + '?mode=' + m).catch(errCb);
    }
}

Внутри вложенной функции errCb уже другая область видимости, и переменные там другие — но наш анализ этого не поймёт. Чтобы это исправить, нам хорошо было бы различать одноимённые переменные из разных скоупов. Для этого можно было бы переименовать переменные в программе так, чтобы все переменные имели уникальные имена (то есть преобразовать немного анализируемый код) — так нередко делают на практике. Ещё один вариант — вместо просто имени переменной использовать в качестве ключа в memory какие-то специальные значения, которые бы переменным однозначно соответствовали (были бы разными для разных переменных). К счастью, библиотека Babel уже предоставляет нам это: помимо просто AST-дерева, она разбирается какие в программе есть области видимости — и предоставляет эту инфу. Для каждой области видимости Babel создаёт объект класса Scope, а для каждой переменной — объект класса Binding. Scope, в котором находится текущая нода, можно получить из свойства path.scope. Чтобы получить Binding можно использовать метод .getBinding(name), который есть у объектов класса Scope. Таким образом, задание переменной можно поменять вот так:

function setVariable(varNode, valueNode, scope) {
    if (varNode.type === 'Identifier') {
        const binding = scope.getBinding(varNode.name);
        memory.set(binding, evalExpr(valueNode, scope));
    }
}

А вычисление выражений, которое может доставать из memory значения переменных, так:

function evalExpr(node, scope) {
    switch(node.type) {
    case 'StringLiteral':
        return node.value;
    case 'Identifier':
        const binding = scope.getBinding(node.name);
        if (memory.has(binding)) {
            return memory.get(binding);
        }
        break;
    case 'BinaryExpression':
        if (node.operator === '+') {
            return evalExpr(node.left, scope) + evalExpr(node.right, scope);
        }
        break;        
    }
    // тут наши полномочия всё (окончены)
    return UNKNOWN_VALUE;
}

Ну и, соответственно, при обработке вершин AST эти объекты scope надо теперь в эти функции передавать:

traverse(ast, {
    VariableDeclarator: function(path) {
        if (path.node.init) {
            setVariable(path.node.id, path.node.init, path.scope);
        }
    },
    // process assignments, not only initializations
    AssignmentExpression: function(path) {
        if (path.node.operator === '=') {
            setVariable(path.node.left, path.node.right, path.scope);
        }
    },
    CallExpression: function(path) {
        const node = path.node;
        const callee = node.callee;
        if (callee.type === 'Identifier' && callee.name === 'fetch') {
            const args = [];
            for (const argNode of node.arguments) {
                const value = evalExpr(argNode, path.scope);
                if (value !== UNKNOWN_VALUE) {
                    args.push(JSON.stringify(value));
                } else {
                    args.push(generate(argNode).code);
                }
            }
            console.log(`fetch(${args.join(',')})`);
        }
    }
});

Теперь ключами в нашем memory будут биндинги переменных, и одноимённые переменные будут различаться.

Ну и ещё добавим поддержку функции $.ajax — а то чего у нас один единственный fetch находится. Чтобы код был покороче, используем хелпер-функции из @babel/types:

/* ... */
const { isIdentifier, isMemberExpression } = require('@babel/types');
/* ... */
traverse(ast, {
    /* ... */
    CallExpression: function(path) {
        const node = path.node;
        const callee = node.callee;
        let ajaxFunction = null;
        if (isIdentifier(callee, { name: 'fetch' })) {
            ajaxFunction = 'fetch';
        } else if (
            isMemberExpression(callee) && isIdentifier(callee.object, { name: '$'}) &&
            isIdentifier(callee.property, { name: 'ajax'})
        ) {
            ajaxFunction = '$.ajax';
        }
        if (ajaxFunction) {
            const args = [];
            for (const argNode of node.arguments) {
                const value = evalExpr(argNode, path.scope);
                if (value !== UNKNOWN_VALUE) {
                    args.push(JSON.stringify(value));
                } else {
                    args.push(generate(argNode).code);
                }
            }
            console.log(`${ajaxFunction}(${args.join(',')})`);
        }
    }
});

— И что, вот это сейчас статический анализ был? — спросите вы. Вообще-то да, и не самый тривиальный даже. К статическим анализаторам относят в том числе и линтеры, которые учитывают только синтаксис языка — а у нас тут даже немного учитывается семантика! Несомненно, этот анализатор наивный, он много чего не учитывает. Если вам интересен статический анализ и хочется получше узнать как его можно делать, я очень советую (более серьёзный) рассказ про него от потрясающего Мэтта Майта (видео, то же в виде блог-поста). В видео лекции Мэтта Майта неидеальный звук, но всё равно, она очень хороша. Ещё несколько ссылок (на учебные курсы и учебник) будут в конце поста. Тем не менее, наш маленький анализ уже работает и будет находить кое-какие вызовы даже сейчас. Попробуйте запустить его на какой-нибудь страничке! Если не знаете какую взять, то попробуйте, например, на promote.telegram.org или на вот этой страничке сайта нашей лаборатории. Этот алгоритм несложно доработать чтобы поддерживать другие имена AJAX-функций, добавить поддержку объектных литералов, чтобы внутри объектов тоже работало вычисление выражений и подстановка переменных. Вот в этом репозитории можно посмотреть полный финальный код описанного тут мини-анализатора, интегрированного той частью, которая собирает скрипты со страницы.

Наш алгоритм

Окей, выше был разобран простенький игровой алгоритм анализа JS для поиска вызовов, отправляющих запросы на сервер. Но как работает настоящий алгоритм анализа, который мы разработали в лаборатории, и про который я обещал рассказать?

А работает он на идейном уровне примерно так же. Алгоритм делает рекурсивный обход AST-дерева кода в глубину, для присваиваний (и инициализаций) переменных он запоминает, что было записано в качестве значения переменной. У него тоже есть специальное неизвестное значение, которое называется просто UNKNOWN. У него есть такая же вот мапа memory, ключом в которой являются объекты Binding. Нет никакой специальной обработки циклов: обходя AST, алгоритм заходит в тело цикла так же, как в другие вершины — то есть, циклы анализируются так, как будто они все делали по ровно одной итерации. Вызовы, отправляющие запросы на сервер, наш алгоритм опознаёт так же: с помощью имени функции (или имени объекта + имени метода). Наткнувшись на такой вызов при обходе AST, алгоритм пытается вычислить аргументы этого вызова — и вычисленные аргументы вместе с названием найденной функции добавляются в массив результатов анализа кода. Код он получает тоже с помощью управляемого браузера и его дебаггера. Но остаётся ещё немало подробностей, например:

• Одного обхода AST-дерева на самом деле недостаточно, их делается несколько.
• Как быть с передачей данных между функциями? Как определить данные, приходящие из аргументов функции?
• Как быть с классом XMLHttpRequest — ведь у него нет единой точки, где в него передаются все данные, вместо этого разные части запроса задаются несколькими разными вызовами.
• Мы хотели бы на выход получить всё таки не имена функций с аргументами, а HTTP-запросы — как быть с этим?

Про эти и кое-какие другие подробности нашего алгоритма, а также про то, какие получаются результаты его работы и какие выводы мы сделали, расскажу в следующих постах — вот первый из них, а вот второй!

Ссылки

Если вы хотите узнать больше про статический анализ, всячески рекомендую вот это:

1. Matt Might — «What is Static Analysis?» — видео, то же в виде блог-поста (но на самом деле всё таки чуть больше)
2. Учебник: Anders Møller, Michael I. Schwartzbach — «Static Program Analysis»
3. Учебный курс Артура Хашаева «Анализ программ». Этот курс на русском языке
   • Страница курса
   • Чтобы получить доступ к видео лекций, надо написать Артуру Хашаеву на почту arthur@khashaev.ru или в telegram, его юзернейм это @inviz (для доступа к заданиям возможно тоже надо написать, но они могут быть и выложены на страничке курса)
4. Учебный курс: Michael Pradel — Program Analysis at University of Stuttgart