生成的图缺少某个方法调用的关系

wh1t3p1g / tabby

A CAT called tabby ( Code Analysis Tool )

https://www.yuque.com/wh1t3p1g/tp0c1t/lf12lg69ngh47akx

Apache License 2.0

1.27k stars 148 forks source link

生成的图缺少某个方法调用的关系 #89

Open justdoit-cai opened 5 months ago

justdoit-cai commented 5 months ago

我在分析jooq-3.19.3.jar的时候，明明org.jooq.impl.Convert$ConvertAll.from()方法中调用了newInstance()方法，但是Tabby没查出来。

wh1t3p1g commented 5 months ago

如果不敏感的话，可以提供一下jar，我找时间看一下

justdoit-cai commented 5 months ago

    <dependency>
        <groupId>org.jooq</groupId>
        <artifactId>jooq</artifactId>
        <version>3.19.3</version>
    </dependency>

wh1t3p1g commented 5 months ago

删除了非污点函数调用的过滤；另外，因为污点分析不准确，在call边上的污点会被丢失，可以在system.json里添加对应的规则，例如下面这个例子

  {"name": "org.jooq.impl.Convert", "rules": [
    {"function": "convert", "type": "know", "vul": "", "actions": {"return": "param-0"}, "polluted": [], "signatures": []}
  ]},