npm - @zhuma4/cli - Versions diffs - 4.0.0-alpha.1 → 4.3.0 - Mend

@zhuma4/cli 4.0.0-alpha.1 → 4.3.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (1128) hide show

package/rules/unified/cwe-327/zm-java-cwe327-ecb-weak-key-iv.yaml ADDED Viewed

@@ -0,0 +1,87 @@
+# Source: common | Cluster: N/A
+# CWE-327: 加密算法深度检测 — ECB模式 / AES弱密钥 / CBC无IV
+# 逐码 ZhuMa V4.3 — 加密算法误用专项
+rules:
+# ZM-JAVA-CWE327-ECB-001: Cipher AES/ECB 模式
+- id: zm-java-cwe327-ecb-001
+  severity: WARNING
+  message: |
+    Cipher.getInstance("AES/ECB/...") 使用 ECB 电子密码本模式。
+    ECB 模式下相同明文块产生相同密文块，存在信息泄露风险（如企鹅图问题）。
+    修复: 使用 Cipher.getInstance("AES/GCM/NoPadding")，GCM 提供认证加密 (AEAD)。
+    备选: AES/CBC/PKCS5Padding + HMAC 认证。
+  languages:
+    - java
+  pattern-either:
+    - pattern: Cipher.getInstance("AES/ECB")
+    - pattern: Cipher.getInstance("AES/ECB/PKCS5Padding")
+    - pattern: Cipher.getInstance("AES/ECB/NoPadding")
+    - pattern: Cipher.getInstance("AES/ECB/PKCS7Padding")
+    - pattern: Cipher.getInstance("DES/ECB")
+    - pattern: Cipher.getInstance("DESede/ECB")
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    owasp: "A02:2021 - Cryptographic Failures"
+    likelihood: HIGH
+    impact: HIGH
+    references:
+      - "https://cwe.mitre.org/data/definitions/327.html"
+# ZM-JAVA-CWE327-WEAK-KEY-001: AES 弱密钥长度 (128 bit 以下)
+- id: zm-java-cwe327-weak-key-001
+  severity: WARNING
+  message: |
+    AES 密钥长度小于 128 位不符合 NIST 标准，应使用至少 128 位（推荐 256 位）密钥。
+    检测到 KeyGenerator/SecureRandom 生成的密钥长度不足。
+    修复: KeyGenerator.getInstance("AES").init(256) 生成 256 位密钥。
+  languages:
+    - java
+  pattern-either:
+    - pattern: KeyGenerator.getInstance("AES").init(64)
+    - pattern: KeyGenerator.getInstance("AES").init(56)
+    - pattern: KeyGenerator.getInstance("AES").init(40)
+    - pattern: new SecretKeySpec($KEY_BYTES, "AES")
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: medium
+    category: crypto
+    owasp: "A02:2021 - Cryptographic Failures"
+    likelihood: MEDIUM
+    impact: HIGH
+# ZM-JAVA-CWE327-CBC-NO-IV-001: AES/CBC 无 IV 配置
+- id: zm-java-cwe327-cbc-no-iv-001
+  severity: WARNING
+  message: |
+    Cipher AES/CBC 模式未显式传递 IV (IvParameterSpec)，
+    或使用固定/可预测的 IV（如全零字节）。
+    缺少随机 IV 导致相同明文产生相同密文，泄露模式信息。
+    修复: 使用 SecureRandom 生成 16 字节随机 IV:
+      byte[] iv = new byte[16]; new SecureRandom().nextBytes(iv);
+      IvParameterSpec ivSpec = new IvParameterSpec(iv);
+      cipher.init(Cipher.ENCRYPT_MODE, key, ivSpec);
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $CIPHER = Cipher.getInstance("AES/CBC/...");
+        ...
+        $CIPHER.init($MODE, $KEY);
+    - pattern: |
+        new IvParameterSpec(new byte[16])
+    - pattern: |
+        new IvParameterSpec($CONST.getBytes())
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: medium
+    category: crypto
+    owasp: "A02:2021 - Cryptographic Failures"
+    likelihood: MEDIUM
+    impact: HIGH

package/rules/unified/cwe-327/zm-java-cwe327-weakcrypto.yaml ADDED Viewed

@@ -0,0 +1,198 @@
+# Source: common | Cluster: N/A
+# CWE-327: 弱加密算法深度检测
+# 逐码 ZhuMa V4.1 — 通用规则库
+# 检测: Cipher.getInstance("DES"/"RC4"/"Blowfish") 及不安全的密钥派生/密码学误用
+rules:
+# ZM-JAVA-WEAKCRYPTO-DEEP-001: Cipher.getInstance 弱算法 (增强版)
+- id: zm-java-weakcrypto-deep-001
+  severity: WARNING
+  message: |
+    检测到 Cipher.getInstance() 使用了已淘汰或存在已知缺陷的加密算法。
+    包括: DES (56位密钥,可暴力破解)、RC2 (64位块,已淘汰)、RC4 (密钥流偏向性)、
+    Blowfish (64位块,Sweet32攻击)、ARCFOUR (RC4别名)。
+    这些算法不符合现代安全标准，应迁移至 AES-256-GCM 或 ChaCha20-Poly1305。
+    修复方案:
+    1. 对称加密: Cipher.getInstance("AES/GCM/NoPadding")
+    2. 使用 256 位密钥 + 12 字节随机 IV
+    3. 参考 NIST SP 800-131A Rev.2 算法生命周期
+  languages:
+    - java
+  pattern-either:
+    - pattern: Cipher.getInstance("DES")
+    - pattern: Cipher.getInstance("DES/")
+    - pattern: Cipher.getInstance("RC2")
+    - pattern: Cipher.getInstance("RC4")
+    - pattern: Cipher.getInstance("Blowfish")
+    - pattern: Cipher.getInstance("ARCFOUR")
+    - pattern: Cipher.getInstance("DESede")
+    - pattern: Cipher.getInstance("DESede/")
+    - pattern: Cipher.getInstance("3DES")
+    - pattern: Cipher.getInstance("3DES/")
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf"
+      - "https://sweet32.info/"
+      - "https://cwe.mitre.org/data/definitions/327.html"
+# ZM-JAVA-WEAKCRYPTO-DEEP-002: KeyGenerator 弱算法
+- id: zm-java-weakcrypto-deep-002
+  severity: WARNING
+  message: |
+    检测到 KeyGenerator.getInstance() 使用了弱加密算法。
+    DES/RC2/Blowfish 密钥生成器意味着意图使用弱加密算法。
+    应迁移至 KeyGenerator.getInstance("AES") 配合 256 位密钥。
+  languages:
+    - java
+  pattern-either:
+    - pattern: KeyGenerator.getInstance("DES")
+    - pattern: KeyGenerator.getInstance("RC2")
+    - pattern: KeyGenerator.getInstance("Blowfish")
+    - pattern: KeyGenerator.getInstance("DESede")
+    - pattern: KeyGenerator.getInstance("RC4")
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-JAVA-WEAKCRYPTO-DEEP-003: 自定义/非标准加密实现
+- id: zm-java-weakcrypto-deep-003
+  severity: WARNING
+  message: |
+    检测到自定义或非标准加密类调用（非 javax.crypto.Cipher）。
+    自定义加密实现通常存在严重的密码学缺陷（弱密钥派生、错误模式、旁信道）。
+    除非经过专业密码学审计，否则应使用标准库 Cipher/AES-GCM。
+    修复方案:
+    1. 使用 javax.crypto.Cipher 标准 API
+    2. 使用经过认证的加密库（如 Google Tink, Bouncy Castle）
+    3. 禁止自研加密算法
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        new $CUSTOMCIPHER(...).encrypt(...)
+    - pattern: |
+        new $CUSTOMCIPHER(...).decrypt(...)
+    - pattern: |
+        $CIPHER.encrypt(...)
+    - pattern: |
+        $CIPHER.decrypt(...)
+  paths:
+    include:
+      - "**/*.java"
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: low
+    category: crypto
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-JAVA-WEAKCRYPTO-DEEP-004: 弱密码哈希 (MD5/SHA-1)
+- id: zm-java-weakcrypto-deep-004
+  severity: WARNING
+  message: |
+    检测到使用 MessageDigest.getInstance("MD5") 或 ("SHA-1") 进行密码哈希。
+    MD5 和 SHA-1 已可被碰撞攻击，不应用于安全场景（密码存储、数字签名）。
+    应使用 bcrypt、scrypt、Argon2 (密码哈希) 或 SHA-256/SHA-3 (完整性校验)。
+    修复方案:
+    1. 密码存储: BCryptPasswordEncoder / Argon2PasswordEncoder
+    2. 完整性校验: MessageDigest.getInstance("SHA-256") 或 "SHA-512"
+    3. 数字签名: Signature.getInstance("SHA256withRSA")
+  languages:
+    - java
+  pattern-either:
+    - pattern: MessageDigest.getInstance("MD5")
+    - pattern: MessageDigest.getInstance("SHA-1")
+    - pattern: MessageDigest.getInstance("SHA1")
+    - pattern: DigestUtils.md5Hex(...)
+    - pattern: DigestUtils.sha1Hex(...)
+    - pattern: new DigestUtils("MD5")
+    - pattern: new DigestUtils("SHA-1")
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://shattered.io/"
+      - "https://cwe.mitre.org/data/definitions/328.html"
+# ZM-JAVA-WEAKCRYPTO-DEEP-005: SecureRandom 不安全种子
+- id: zm-java-weakcrypto-deep-005
+  severity: WARNING
+  message: |
+    检测到 SecureRandom 使用了固定或可预测的种子 (setSeed)。
+    固定种子会导致"随机"数可被完全预测，破坏加密安全性。
+    SecureRandom 默认使用操作系统熵源，无需手动设置种子。
+    修复方案:
+    1. 移除手动 setSeed() 调用，使用默认构造的 SecureRandom
+    2. 若必须设置种子，使用 System.nanoTime() + 硬件熵源混合
+    3. 确保在 Linux 上 /dev/urandom 可用
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        new SecureRandom($BYTES).setSeed(...)
+    - pattern: |
+        $SR = new SecureRandom();
+        ...
+        $SR.setSeed($SEED);
+        ...
+    - pattern: |
+        new SecureRandom(0)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: medium
+    category: crypto
+    likelihood: MEDIUM
+    impact: MEDIUM
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-JAVA-WEAKCRYPTO-DEEP-006: 硬编码 AES/DES 密钥
+- id: zm-java-weakcrypto-deep-006
+  severity: WARNING
+  message: |
+    检测到 SecretKeySpec 使用了字面量字符串作为密钥材料，属于硬编码密钥。
+    硬编码密钥一旦泄露（如代码仓库公开），攻击者可解密所有受保护数据。
+    修复方案:
+    1. 密钥从环境变量或密钥管理服务 (KMS) 获取
+    2. 使用 KeyStore / Vault 等安全密钥存储
+    3. 密钥应在部署时自动生成，每个环境独立
+    4. 参考 NIST SP 800-57 密钥管理最佳实践
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        new SecretKeySpec("...".getBytes(), $ALG)
+    - pattern: |
+        new SecretKeySpec($KEY_STR.getBytes(), "AES")
+    - pattern: |
+        new SecretKeySpec($KEY_STR.getBytes(), "DES")
+    - pattern: |
+        new SecretKeySpec("...".getBytes("..."), $ALG)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: medium
+    category: crypto
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A02:2021 - Cryptographic Failures"

package/rules/unified/cwe-327/zm-js-cwe327-weak-cipher-des.yaml ADDED Viewed

@@ -0,0 +1,30 @@
+# Source: common | Cluster: N/A
+# CWE-327: crypto.createCipher/createCipheriv 使用 DES 弱加密算法
+# 逐码 ZhuMa V4.3 — JS/TS 通用规则库
+rules:
+- id: zm-js-weak-cipher-001
+  severity: ERROR
+  message: >
+    crypto.createCipher() 或 crypto.createCipheriv() 使用 'des'/'des-ede'/'des-ede3'
+    弱加密算法，DES 56位密钥可被暴力破解，3DES 已不推荐使用。
+    修复: 使用 AES-256-GCM 或 AES-256-CBC 替代: crypto.createCipheriv('aes-256-gcm', key, iv)。
+  languages:
+    - javascript
+    - typescript
+  pattern-either:
+    - pattern: $CRYPTO.createCipher('des', ...)
+    - pattern: $CRYPTO.createCipher("des", ...)
+    - pattern: $CRYPTO.createCipheriv('des', ...)
+    - pattern: $CRYPTO.createCipheriv("des", ...)
+    - pattern: $CRYPTO.createCipher('des-ede3', ...)
+    - pattern: $CRYPTO.createCipher("des-ede3", ...)
+    - pattern: $CRYPTO.createCipheriv('des-ede3', ...)
+    - pattern: $CRYPTO.createCipheriv("des-ede3", ...)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    owasp: "A02:2021 - Cryptographic Failures"
+    category: security
+    precision: very-high
+    confidence: very-high

package/rules/unified/cwe-327/zm-js-cwe327-weak-hash-md5.yaml ADDED Viewed

@@ -0,0 +1,23 @@
+# Source: common | Cluster: N/A
+# CWE-327: crypto.createHash('md5') 弱哈希算法
+# 逐码 ZhuMa V4.3 — JS/TS 通用规则库
+rules:
+- id: zm-js-weak-hash-001
+  severity: WARNING
+  message: >
+    crypto.createHash('md5') 使用MD5弱哈希算法，已被证明存在碰撞攻击漏洞。
+    修复: 使用 SHA-256 或更强的哈希算法: crypto.createHash('sha256')。
+  languages:
+    - javascript
+    - typescript
+  pattern-either:
+    - pattern: $CRYPTO.createHash('md5')
+    - pattern: $CRYPTO.createHash("md5")
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    owasp: "A02:2021 - Cryptographic Failures"
+    category: security
+    precision: very-high
+    confidence: very-high

package/rules/unified/cwe-327/zm-php-cwe327-weak-hash.yaml ADDED Viewed

@@ -0,0 +1,89 @@
+# Source: common | Cluster: N/A
+# CWE-327: PHP 弱哈希算法检测
+# 逐码 ZhuMa V4.3 — PHP 通用规则库
+# 检测: md5/sha1 用于密码处理
+rules:
+# ZM-PHP-HASH-001: md5() 用于密码/安全场景
+- id: zm-php-cwe327-weak-hash-001
+  severity: ERROR
+  message: |
+    检测到 md5() 用于密码处理或安全相关场景。
+    MD5 已被证明存在碰撞攻击，不应用于任何安全目的。
+    用于密码哈希尤其危险，攻击者可通过彩虹表快速破解。
+    修复方案:
+    1. 使用 password_hash($password, PASSWORD_BCRYPT) + password_verify()
+    2. 如需文件完整性验证使用 SHA-256 及以上
+    3. Laravel: 使用 Hash::make($password) + Hash::check()
+    4. 参考 OWASP 密码存储速查表
+  languages:
+    - php
+  pattern-either:
+    - pattern: md5($PASSWORD)
+    - pattern: md5($_GET[$X])
+    - pattern: md5($_POST[$X])
+    - pattern: md5($_POST["password"])
+    - pattern: md5($POST["password"])
+    - pattern: md5($password)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: ERROR
+    precision: medium
+    category: weak-crypto
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://www.php.net/manual/en/function.password-hash.php"
+      - "https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html"
+# ZM-PHP-HASH-002: sha1() 用于安全场景
+- id: zm-php-cwe327-weak-hash-002
+  severity: WARNING
+  message: |
+    检测到 sha1() 用于密码处理。SHA-1 已被证明存在碰撞攻击
+    (SHAttered攻击)，不应再用于任何安全场景。
+    修复方案:
+    1. 使用 password_hash($password, PASSWORD_BCRYPT) 用于密码
+    2. 使用 hash('sha256', $data) 或 hash('sha512', $data) 用于其他场景
+    3. 考虑使用 PHP 5.5+ 内置的 password_* 函数族
+  languages:
+    - php
+  pattern-either:
+    - pattern: sha1($PASSWORD)
+    - pattern: sha1($_POST["password"])
+    - pattern: sha1($password)
+    - pattern: sha1($_GET[$X])
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: medium
+    category: weak-crypto
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-PHP-HASH-003: crc32() 用于安全场景
+- id: zm-php-cwe327-weak-hash-003
+  severity: WARNING
+  message: |
+    检测到 crc32() 可能用于安全相关场景。CRC32 是校验和算法
+    而非加密哈希，极容易碰撞，绝不应代替哈希函数使用。
+    修复方案:
+    1. 使用 hash('sha256', ...) 替代 crc32
+    2. 使用 password_hash() 用于密码
+  languages:
+    - php
+  pattern: crc32($PASSWORD)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: low
+    category: weak-crypto
+    likelihood: LOW
+    impact: MEDIUM
+    owasp: "A02:2021 - Cryptographic Failures"

package/rules/unified/cwe-327/zm-py-crypto-cwe327-01.yaml ADDED Viewed

@@ -0,0 +1,34 @@
+# Source: common | Cluster: N/A
+# CWE-327: Python 加密弱点深度检测
+# 逐码 ZhuMa V4.1 — Python 通用规则库
+# 检测: PyCryptodome ECB 模式 / 静态 IV / hashlib 弱哈希 (md4/ripemd160)
+rules:
+# ZM-PY-CRYPTO-WEAK-01: PyCryptodome 使用静态/固定 IV
+- id: zm-py-crypto-static-iv-001
+  severity: ERROR
+  message: |
+    检测到 AES/CBC 加密使用硬编码/静态 IV（初始化向量）。
+    静态 IV 使相同明文产生相同密文，攻击者可通过模式分析推断明文内容，
+    或通过已知密文反推后续加密数据。
+    参考: CVE-2023-32784 — 静态 IV 导致加密可预测攻击。
+    修复: 每次加密使用 secrets.token_bytes(16) 生成随机 IV 并与密文一起存储。
+  languages:
+    - python
+  patterns:
+    - pattern: $CIPHER.new($KEY, $MODE, iv=b"$IV")
+    - pattern: $CIPHER.new($KEY, $MODE, iv="$IV")
+    - pattern: $CIPHER.new($KEY, $MODE, $IV_CONST)
+    - metavariable-regex:
+        metavariable: $MODE
+        regex: ^.*(MODE_CBC|MODE_CFB|MODE_OFB|MODE_OPENPGP).*$
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm; CWE-330: Use of Insufficiently Random Values"
+    severity: ERROR
+    precision: high
+    category: weak-crypto
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    cve: "CVE-2023-32784"

package/rules/unified/cwe-327/zm-py-cwe327-weak-crypto.yaml ADDED Viewed

@@ -0,0 +1,104 @@
+# Source: common | Cluster: N/A
+# CWE-327: Python 弱加密算法检测
+# 逐码 ZhuMa V4.1 — Python 通用规则库
+# 检测: hashlib.md5 / hashlib.sha1 / Crypto.Cipher.DES / AES-ECB 模式
+rules:
+# ZM-PY-WCR-01: hashlib.md5 / hashlib.sha1 弱哈希
+- id: zm-py-weak-crypto-001
+  severity: WARNING
+  message: |
+    检测到使用 hashlib.md5() / hashlib.sha1() 弱哈希算法。
+    MD5 和 SHA-1 已被证明存在碰撞攻击，不应用于安全场景（密码存储/数字签名/完整性校验）。
+    修复: 密码存储使用 bcrypt/scrypt/argon2；完整性校验使用 hashlib.sha256() 或 hashlib.sha512()。
+  languages:
+    - python
+  pattern-either:
+    - pattern: hashlib.md5(...)
+    - pattern: hashlib.sha1(...)
+    - pattern: hashlib.md5()
+    - pattern: hashlib.sha1()
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: very-high
+    category: weak-crypto
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-PY-WCR-02: Crypto.Cipher.DES / Blowfish 弱对称加密
+- id: zm-py-weak-crypto-002
+  severity: ERROR
+  message: |
+    检测到使用 Crypto.Cipher.DES / Blowfish 弱对称加密算法。
+    DES 密钥仅 56 位可被暴力破解；Blowfish 64 位块大小存在 Sweet32 攻击风险。
+    修复: 使用 Crypto.Cipher.AES (GCM 模式) 或 ChaCha20-Poly1305 替代。
+  languages:
+    - python
+  pattern-either:
+    - pattern: Crypto.Cipher.DES.new(...)
+    - pattern: Crypto.Cipher.DES3.new(...)
+    - pattern: Crypto.Cipher.Blowfish.new(...)
+    - pattern: Crypto.Cipher.ARC2.new(...)
+    - pattern: Crypto.Cipher.ARC4.new(...)
+    - pattern: Cryptodome.Cipher.DES.new(...)
+    - pattern: Cryptodome.Cipher.DES3.new(...)
+    - pattern: Cryptodome.Cipher.Blowfish.new(...)
+    - pattern: Cryptodome.Cipher.ARC4.new(...)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: ERROR
+    precision: very-high
+    category: weak-crypto
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-PY-WCR-03: AES ECB 模式（不安全块加密模式）
+- id: zm-py-weak-crypto-003
+  severity: ERROR
+  message: |
+    检测到 AES 使用 ECB（电子密码本）模式加密。
+    ECB 模式相同明文块产生相同密文块，可被模式分析攻击还原明文。
+    修复: 使用 AES-GCM（带认证加密）或 AES-CBC + HMAC 替代 ECB 模式。
+  languages:
+    - python
+  pattern-either:
+    - pattern: AES.new($KEY, AES.MODE_ECB)
+    - pattern: AES.new($KEY, AES.MODE_ECB, ...)
+    - pattern: Crypto.Cipher.AES.new($KEY, Crypto.Cipher.AES.MODE_ECB)
+    - pattern: Crypto.Cipher.AES.new($KEY, Crypto.Cipher.AES.MODE_ECB, ...)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: ERROR
+    precision: very-high
+    category: weak-crypto
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-PY-WCR-04: random 模块用于安全场景
+- id: zm-py-weak-crypto-004
+  severity: WARNING
+  message: |
+    检测到使用 random 模块生成安全相关值（token/session ID/密码/密钥）。
+    random 模块使用 Mersenne Twister 伪随机算法，可被预测。
+    修复: 使用 secrets 模块 (Python 3.6+) 或 os.urandom() 生成密码学安全随机数。
+  languages:
+    - python
+  pattern-either:
+    - pattern: random.randint(..., ...)
+    - pattern: random.choice(...)
+    - pattern: random.random()
+    - pattern: random.randrange(..., ...)
+    - pattern: random.getrandbits(...)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: very-high
+    category: weak-crypto
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"

package/rules/unified/cwe-327/zm-rust-cwe327-weak-crypto.yaml ADDED Viewed

@@ -0,0 +1,124 @@
+# Source: common | Cluster: N/A
+# CWE-327: Rust 弱加密算法检测
+# 逐码 ZhuMa V4.3 — Rust 通用规则库
+# 检测: MD5/SHA-1/DES/RC4 等弱算法
+rules:
+# ZM-RUST-CRYPTO-001: MD5 使用
+- id: zm-rust-cwe327-weak-crypto-001
+  severity: ERROR
+  message: |
+    检测到 md5 哈希算法使用（md-5 crate / Md5 结构体）。
+    MD5 已被证明存在碰撞攻击，不应用于任何安全敏感的哈希场景。
+    修复方案:
+    1. 使用 SHA-256: sha2::Sha256
+    2. 用于密码: 使用 argon2 crate 或 bcrypt crate
+    3. 用于 MAC: 使用 HMAC-SHA256 (hmac crate)
+    4. 参考 OWASP 加密存储速查表
+  languages:
+    - rust
+  pattern-either:
+    - pattern: md5::Md5
+    - pattern: md5::compute(...)
+    - pattern: md5::Digest
+    - pattern: Md5::new()
+    - pattern: Md5::digest(...)
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: ERROR
+    precision: high
+    category: weak-crypto
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-RUST-CRYPTO-002: SHA-1 使用
+- id: zm-rust-cwe327-weak-crypto-002
+  severity: WARNING
+  message: |
+    检测到 SHA-1 哈希算法使用（sha1 crate / Sha1 结构体）。
+    SHA-1 已被证明存在碰撞攻击 (SHAttered)，不应再用于新系统。
+    修复方案:
+    1. 迁移至 SHA-256 (sha2::Sha256)
+    2. 使用 SHA-512 获得更高安全性
+    3. 检查是否可删除对 SHA-1 的依赖
+  languages:
+    - rust
+  pattern-either:
+    - pattern: sha1::Sha1
+    - pattern: sha1::Digest
+    - pattern: Sha1::new()
+    - pattern: Sha1::digest(...)
+    - pattern: sha1::Sha1Core
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: WARNING
+    precision: high
+    category: weak-crypto
+    likelihood: LOW
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-RUST-CRYPTO-003: DES/RC4 弱加密
+- id: zm-rust-cwe327-weak-crypto-003
+  severity: CRITICAL
+  message: |
+    检测到 DES 或 RC4 加密算法使用。
+    DES 使用 56 位密钥可被暴力破解，RC4 存在多个严重密码学缺陷。
+    修复方案:
+    1. 使用 AES-256-GCM (aes-gcm crate):
+       Aes256Gcm::new(&key.into());
+    2. 使用 ChaCha20Poly1305 (chacha20poly1305 crate)
+    3. 切勿自行实现加密，使用审计过的 crate
+  languages:
+    - rust
+  pattern-either:
+    - pattern: des::Des
+    - pattern: Des::new(...)
+    - pattern: rc4::Rc4
+    - pattern: Rc4::new(...)
+    - pattern: des::TdesEde3
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: CRITICAL
+    precision: high
+    category: weak-crypto
+    likelihood: LOW
+    impact: CRITICAL
+    owasp: "A02:2021 - Cryptographic Failures"
+# ZM-RUST-CRYPTO-004: 手动实现加密算法
+- id: zm-rust-cwe327-weak-crypto-004
+  severity: ERROR
+  message: |
+    检测到可能的自定义加密实现或非标准加密 crate 使用。
+    自行实现的加密算法极可能存在严重缺陷，应使用审计过的标准 crate。
+    修复方案:
+    1. 使用 rustcrypto 项目的 crate: aes-gcm, chacha20poly1305, sha2, hmac
+    2. 非对称加密: rsa, ed25519-dalek, x25519-dalek
+    3. 密码哈希: argon2, bcrypt
+    4. TLS: rustls, native-tls
+  languages:
+    - rust
+  pattern-either:
+    - pattern: |
+        fn encrypt(...) ...
+    - pattern: |
+        fn decrypt(...) ...
+    - pattern: |
+        fn hash_password(...) ...
+  metadata:
+    cwe: "CWE-327: Use of a Broken or Risky Cryptographic Algorithm"
+    severity: ERROR
+    precision: very-low
+    category: weak-crypto
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://github.com/RustCrypto"