npm - @zhuma4/cli - Versions diffs - 4.0.0-alpha.1 → 4.3.0 - Mend

@zhuma4/cli 4.0.0-alpha.1 → 4.3.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (1128) hide show

package/rules/unified/cwe-347/zm-js-cwe347-jwt-weak.yaml ADDED Viewed

@@ -0,0 +1,101 @@
+# Source: common | Cluster: N/A
+# CWE-347: JWT 弱签名检测规则
+# 逐码 ZhuMa V4.1 Sprint 1 — JS/TS 通用规则库
+rules:
+# ZM-JS-JWT-001: JWT secret 硬编码
+- id: zm-js-jwt-001
+  severity: ERROR
+  message: |
+    检测到 jwt.sign() 使用硬编码字符串作为签名密钥（secret）。
+    硬编码密钥泄露后攻击者可伪造任意 JWT Token，冒充任意用户身份。
+    修复建议:
+    1. 使用环境变量存储密钥: process.env.JWT_SECRET
+    2. 密钥长度至少 256 位（HMAC-SHA256），使用 crypto.randomBytes(32).toString('hex') 生成
+    3. 使用非对称算法 RS256/ES256 替代对称 HMAC 算法
+    4. 密钥定期轮换
+  languages:
+    - javascript
+    - typescript
+  pattern-either:
+    - pattern: |
+        jwt.sign($PAYLOAD, '...', ...)
+    - pattern: |
+        jwt.sign($PAYLOAD, "...", ...)
+    - pattern: |
+        jsonwebtoken.sign($PAYLOAD, '...', ...)
+    - pattern: |
+        jsonwebtoken.sign($PAYLOAD, "...", ...)
+  metadata:
+    cwe: "CWE-347: Improper Verification of Cryptographic Signature"
+    owasp: "A02:2021 - Cryptographic Failures"
+    category: crypto
+    precision: very-high
+    references:
+      - "https://www.npmjs.com/package/jsonwebtoken"
+      - "https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/"
+# ZM-JS-JWT-002: JWT algorithm 设置为 none
+- id: zm-js-jwt-002
+  severity: ERROR
+  message: |
+    检测到 JWT 配置中 algorithm 设置为 'none'。
+    这意味着 Token 不进行签名验证，攻击者可伪造任意 Token。
+    修复建议:
+    1. 移除 algorithm: 'none' 配置
+    2. 使用安全的签名算法: HS256 / RS256 / ES256
+    3. jwt.verify 时显式指定 algorithms 参数，禁止接受 'none'
+  languages:
+    - javascript
+    - typescript
+  pattern-either:
+    - pattern: |
+        jwt.sign(..., {..., algorithm: 'none', ...})
+    - pattern: |
+        jwt.sign(..., {..., algorithm: "none", ...})
+    - pattern: |
+        jwt.verify(..., {..., algorithms: ['none', ...], ...})
+    - pattern: |
+        jwt.verify(..., {..., algorithms: ["none", ...], ...})
+  metadata:
+    cwe: "CWE-347: Improper Verification of Cryptographic Signature"
+    owasp: "A02:2021 - Cryptographic Failures"
+    category: crypto
+    precision: very-high
+    references:
+      - "https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/"
+# ZM-JS-JWT-003: jwt.verify 未指定 algorithms
+- id: zm-js-jwt-003
+  severity: WARNING
+  message: |
+    检测到 jwt.verify() 调用未显式指定 algorithms 参数。
+    某些旧版本 JWT 库默认接受 'none' 算法，可能导致 Token 伪造攻击。
+    修复建议:
+    1. 显式指定 algorithms: ['HS256'] 或 ['RS256']
+    2. 升级 jsonwebtoken 至最新版本
+    3. 禁止在 algorithms 列表中出现 'none'
+  languages:
+    - javascript
+    - typescript
+  patterns:
+    - pattern-either:
+        - pattern: jwt.verify($TOKEN, $SECRET)
+        - pattern: jwt.verify($TOKEN, $SECRET, $CALLBACK)
+        - pattern: jsonwebtoken.verify($TOKEN, $SECRET)
+        - pattern: jsonwebtoken.verify($TOKEN, $SECRET, $CALLBACK)
+    - pattern-not: |
+        jwt.verify(..., {..., algorithms: ..., ...})
+    - pattern-not: |
+        jsonwebtoken.verify(..., {..., algorithms: ..., ...})
+  metadata:
+    cwe: "CWE-347: Improper Verification of Cryptographic Signature"
+    owasp: "A02:2021 - Cryptographic Failures"
+    category: crypto
+    precision: medium
+    references:
+      - "https://auth0.com/blog/critical-vulnerabilities-in-json-web-token-libraries/"

package/rules/unified/cwe-352/cwe-352-csrf.yaml ADDED Viewed

@@ -0,0 +1,27 @@
+# Source: common | Cluster: N/A
+# CWE-352: 跨站请求伪造 (CSRF) 检测规则
+# 逐码 ZhuMa V4.0 Alpha — 通用规则库
+rules:
+# ZM-JAVA-CSRF-001: Spring Security 显式禁用 CSRF 保护
+- id: zm-java-csrf-001
+  severity: INFO
+  message: |
+    检测到 Spring Security 配置中显式禁用了 CSRF 保护 (csrf().disable())。
+    禁用 CSRF 保护会使应用容易受到跨站请求伪造攻击。
+    除非是纯 REST API 使用无状态 Token 认证，否则应启用或手动实现 CSRF 防护。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $HTTP.csrf().disable();
+    - pattern: |
+        $HTTP.csrf().disable()
+  metavariable-regex:
+    metavariable: $HTTP
+    regex: '(?i)(http|httpSecurity|securityFilter|filterChain|httpSecurityConfig)'
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    owasp: "A01:2021 - Broken Access Control"
+    precision: very-high

package/rules/unified/cwe-352/zm-cs-cwe352-csrf.yaml ADDED Viewed

@@ -0,0 +1,86 @@
+# Source: common | Cluster: N/A
+# CWE-352: C# CSRF 检测规则
+# 逐码 ZhuMa V4.3 — C# 规则库
+#
+# 检测 ASP.NET MVC / Core 中缺少 CSRF 保护的控制器和 Actions。
+rules:
+# ZM-CS-CWE352-001: 缺少 ValidateAntiForgeryToken
+- id: zm-cs-cwe352-csrf-001
+  severity: WARNING
+  message: |
+    在 ASP.NET MVC 控制器中检测到 [HttpPost] Action 方法缺少
+    [ValidateAntiForgeryToken] 属性。没有反 CSRF Token 验证的
+    POST 端点容易受到跨站请求伪造攻击。
+    修复方案：
+    - 在 POST/PUT/DELETE/PATCH 方法上添加 [ValidateAntiForgeryToken] 属性
+    - 在对应的视图中使用 @Html.AntiForgeryToken() 或 <form asp-antiforgery="true">
+    - ASP.NET Core 默认启用 AutoValidateAntiforgeryToken，仅需确认未禁用
+  languages:
+    - csharp
+  pattern-either:
+    - pattern: |
+        [HttpPost]
+        public $RET $METHOD(...)
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    owasp: "A01:2021 - Broken Access Control"
+    category: security
+    precision: medium
+    references:
+      - "https://cwe.mitre.org/data/definitions/352.html"
+      - "https://learn.microsoft.com/en-us/aspnet/core/security/anti-request-forgery"
+# ZM-CS-CWE352-002: ASP.NET Core 禁用 AntiForgery
+- id: zm-cs-cwe352-csrf-002
+  severity: ERROR
+  message: |
+    检测到 ASP.NET Core 中显式禁用了 AntiForgery Token 验证。
+    通过 [IgnoreAntiforgeryToken] 属性或配置禁用
+    AutoValidateAntiforgeryToken 会移除全局 CSRF 保护。
+    修复方案：
+    - 移除 [IgnoreAntiforgeryToken] 属性
+    - 确认为纯 API 端点（使用 Token 认证而非 Cookie）才可忽略
+    - 如为 API，使用 Authorization Header 替代 Cookie 认证
+  languages:
+    - csharp
+  pattern-either:
+    - pattern: |
+        [IgnoreAntiforgeryToken]
+        public $RET $METHOD(...)
+    - pattern: $BUILDER.Services.AddControllersWithViews(options => options.Filters.Add(new IgnoreAntiforgeryTokenAttribute()))
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    owasp: "A01:2021 - Broken Access Control"
+    category: security
+    precision: high
+    references:
+      - "https://cwe.mitre.org/data/definitions/352.html"
+# ZM-CS-CWE352-003: 全局禁用 AntiForgery
+- id: zm-cs-cwe352-csrf-003
+  severity: ERROR
+  message: |
+    检测到在全局过滤器或配置中禁用 AntiForgery Token 验证。
+    全局禁用会移除整个应用的所有 CSRF 保护。
+    修复方案：
+    - 移除全局 IgnoreAntiforgeryToken 配置
+    - 仅在特定的 API 端点使用 [IgnoreAntiforgeryToken]
+    - 使用 [AutoValidateAntiforgeryToken] 作为全局默认
+  languages:
+    - csharp
+  pattern-either:
+    - pattern: $FILTERS.Add(new IgnoreAntiforgeryTokenAttribute())
+    - pattern: $FILTERS.Add(typeof(IgnoreAntiforgeryTokenAttribute))
+    - pattern: options.Filters.Add(new AutoValidateAntiforgeryTokenAttribute())
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    owasp: "A01:2021 - Broken Access Control"
+    category: security
+    precision: high
+    references:
+      - "https://cwe.mitre.org/data/definitions/352.html"

package/rules/unified/cwe-352/zm-java-cwe352-csrf-deep.yaml ADDED Viewed

@@ -0,0 +1,52 @@
+# Source: common | Cluster: N/A
+# CWE-352: Spring Security 无 CSRF 保护深度覆盖
+# 逐码 ZhuMa V4.3 — CSRF 专项补充
+rules:
+# ZM-JAVA-CWE352-CSRF-DEEP-001: 全局 CSRF 未配置
+- id: zm-java-cwe352-csrf-deep-001
+  severity: WARNING
+  message: |
+    Spring Security 配置中 CSRF 保护使用默认 CookieCsrfTokenRepository.withHttpOnlyFalse()，
+    cookie 中 HttpOnly=false 会使 CSRF token 暴露给 JavaScript，增加 XSS 后 CSRF 利用风险。
+    修复: CookieCsrfTokenRepository.withHttpOnlyFalse() 存在一定风险，
+    推荐使用 HeaderCSRFTokenRepository 或默认的 Session CSRFTokenRepository。
+  languages:
+    - java
+  patterns:
+    - pattern: CookieCsrfTokenRepository.withHttpOnlyFalse()
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: WARNING
+    precision: very-high
+    category: csrf
+    owasp: "A01:2021 - Broken Access Control"
+    likelihood: MEDIUM
+    impact: MEDIUM
+    tags: [csrf, spring-security]
+# ZM-JAVA-CWE352-CSRF-DEEP-002: Stateless API 仍禁用 CSRF
+- id: zm-java-cwe352-csrf-deep-002
+  severity: INFO
+  message: |
+    非纯 Stateless API 的 Spring Security 配置中禁用 CSRF（.csrf().disable()），
+    对于使用 Session/Cookie 认证的非 API 应用应启用 CSRF 保护。
+    仅当应用确实是纯 REST API（无 cookie session、使用 JWT Bearer 认证）时才可禁用 CSRF。
+  languages:
+    - java
+  patterns:
+    - pattern: $HTTP.csrf($CFG -> $CFG.disable())
+    - pattern: $HTTP.csrf().disable()
+    - metavariable-regex:
+        metavariable: $HTTP
+        regex: '(?i)(http|httpSecurity)'
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: INFO
+    precision: low
+    category: csrf
+    owasp: "A01:2021 - Broken Access Control"
+    likelihood: MEDIUM
+    impact: MEDIUM
+    tags: [csrf, spring-security]

package/rules/unified/cwe-352/zm-java-cwe352-csrf-depth.yaml ADDED Viewed

@@ -0,0 +1,122 @@
+# Source: common | Cluster: N/A
+# CWE-352: Java CSRF 深度检测
+# 逐码 ZhuMa V4.1 Sprint — Java 规则库
+# 覆盖: CSRF令牌缺失+SameSite未设+自定义Filter未校验Referer
+rules:
+# ZM-JAVA-CSRF-DEPTH-001: CSRF Token 缺失检测
+- id: zm-java-csrf-depth-001
+  severity: WARNING
+  message: |
+    检测到 Spring Security 配置中 CSRF 保护被禁用(csrf().disable())，
+    同时未发现自定义 CSRF Filter 或 SameSite Cookie 设置。
+    攻击者可利用跨站请求伪造执行未授权操作(修改密码、转账等)。
+    修复:
+    1. 移除 .csrf().disable() 使用 Spring Security 默认 CSRF 保护
+    2. 如为 REST API(无Cookie认证)，确认使用 Bearer Token/JWT 认证后 CSRF 不适用
+    3. 设置 Cookie SameSite=Strict/Lax 作为额外防护
+    4. 添加 X-XSRF-TOKEN header 校验
+  languages:
+    - java
+  patterns:
+    - pattern-either:
+        - pattern: $SEC.http.csrf($X).disable()
+        - pattern: http.csrf($X).disable()
+        - pattern: $HTTP.csrf($X).disable()
+    - metavariable-regex:
+        metavariable: $SEC
+        regex: '(?i)(security|sec|customize|configure|httpSecurity|securityFilter|filterChain)'
+    - metavariable-regex:
+        metavariable: $HTTP
+        regex: '(?i)(http|httpSecurity|securityFilter|filterChain|customize)'
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: INFO
+    precision: very-high
+    category: structural-config
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://docs.spring.io/spring-security/reference/servlet/exploits/csrf.html"
+# ZM-JAVA-CSRF-DEPTH-002: 自定义 Filter 未校验 Origin/Referer
+- id: zm-java-csrf-depth-002
+  severity: WARNING
+  message: |
+    检测到自定义 Filter 或 OncePerRequestFilter 处理请求但未校验 Origin/Referer 头。
+    自定义 CSRF 防护 Filter 应校验请求来源，防止跨站请求伪造。
+    修复:
+    1. 在 doFilter 中校验 request.getHeader("Origin") 或 request.getHeader("Referer")
+    2. 白名单校验 Origin 域名
+    3. 对状态变更请求(POST/PUT/DELETE)强制校验 Origin
+    4. 使用 CorsUtils.isCorsRequest() 辅助判断
+  languages:
+    - java
+  patterns:
+    - pattern-either:
+        - pattern: |
+            public class $FILTER extends OncePerRequestFilter {
+              ...
+            }
+        - pattern: |
+            public class $FILTER extends GenericFilterBean {
+              ...
+            }
+        - pattern: |
+            public class $FILTER implements Filter {
+              ...
+            }
+    - pattern-not: |
+        $REQ.getHeader("Origin")
+    - pattern-not: |
+        $REQ.getHeader("Referer")
+    - pattern-not: |
+        $REQ.getHeader("Sec-Fetch-Site")
+    - metavariable-regex:
+        metavariable: $FILTER
+        regex: '(?i)(csrf|Csrf|CSRF|Security|Auth|Authentication|Authoriz|Secure)'
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: INFO
+    precision: low
+    category: csrf
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html"
+# ZM-JAVA-CSRF-DEPTH-003: Cookie 缺少 SameSite 属性
+- id: zm-java-csrf-depth-003
+  severity: WARNING
+  message: |
+    检测到 Servlet Cookie 或 Spring ResponseCookie 创建时未设置 SameSite 属性。
+    缺少 SameSite 属性使 Cookie 在所有跨站请求中携带，增加 CSRF 风险。
+    修复:
+    1. Spring: ResponseCookie.from(name, value).sameSite("Strict").build()
+    2. Servlet: 使用 setAttribute 或手动拼接 Set-Cookie header
+    3. 使用 Spring Session 的 CookieSerializer 设置:
+       cookieSerializer.setSameSite("Strict")
+    4. 生产环境同时设置 Secure=true (HTTPS only)
+  languages:
+    - java
+  pattern-either:
+    - pattern: new Cookie($NAME, $VALUE)
+    - pattern: ResponseCookie.from($NAME, $VALUE).build()
+    - pattern: $RESPONSE.addCookie($COOKIE)
+    - pattern: DefaultCookieSerializer()
+    - pattern: new DefaultCookieSerializer()
+  metavariable-regex:
+    - metavariable: $NAME
+      regex: '(?i)(session|auth|token|jwt|saml|oauth|csrf|x-csrf|jsession)'
+    - metavariable: $RESPONSE
+      regex: '(?i)(response|resp|httpResponse|servletResponse)'
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: INFO
+    precision: low
+    category: csrf
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite"

package/rules/unified/cwe-352/zm-java-cwe352-csrf-disabled.yaml ADDED Viewed

@@ -0,0 +1,24 @@
+# Source: common | Cluster: N/A
+# CWE-352: Spring Security CSRF 禁用检测
+rules:
+- id: zm-java-csrf-01
+  severity: INFO
+  message: SecurityConfig 中显式禁用 CSRF 保护(.csrf().disable())，允许跨站请求伪造攻击。
+  languages: [java]
+  patterns:
+    - pattern: $SECURITY.http.csrf().disable()
+    - metavariable-regex:
+        metavariable: $SECURITY
+        regex: '(?i)(security|sec|customize|configure|httpSecurity|securityFilter|filterChain|webSecurityConfigurer|securityConfig)'
+  metadata: { cwe: "CWE-352", precision: very-high, category: config, owasp: "A01:2021 - Broken Access Control" }
+- id: zm-java-csrf-02
+  severity: INFO
+  message: SecurityFilterChain 中 csrf.disable() 禁用 CSRF 保护。
+  languages: [java]
+  patterns:
+    - pattern: http.csrf($X).disable()
+    - metavariable-regex:
+        metavariable: $X
+        regex: '(?i)(csrf|CsrfConfigurer|config|configurer|csrfConfigurer)'
+  metadata: { cwe: "CWE-352", precision: very-high, category: config, owasp: "A01:2021" }

package/rules/unified/cwe-352/zm-js-cwe352-csrf.yaml ADDED Viewed

@@ -0,0 +1,56 @@
+# Source: common | Cluster: N/A
+# CWE-352: Express CSRF 保护缺失检测规则
+# 逐码 ZhuMa V4.1 Sprint 1 — JS/TS 通用规则库
+rules:
+# ZM-JS-CSRF-001: Express 应用未使用 CSRF 中间件
+- id: zm-js-csrf-001
+  severity: INFO
+  message: |
+    检测到 Express 应用中未发现 csurf / lusca / csrf 等 CSRF 保护中间件的使用。
+    缺少 CSRF 保护使应用面临跨站请求伪造攻击风险，攻击者可诱导用户执行
+    未授权的状态变更操作。
+    修复建议:
+    1. 安装并使用 csurf 中间件: app.use(csurf({ cookie: true }))
+    2. 或使用 lusca: app.use(lusca.csrf())
+    3. REST API 使用 Authorization Header (Bearer Token) 而非 Cookie 认证
+    4. 验证 Origin / Referer 请求头
+  languages:
+    - javascript
+    - typescript
+  patterns:
+    - pattern-either:
+        - pattern: |
+            const $APP = express();
+            ...
+        - pattern: |
+            const $APP = express();
+            ...
+            $APP.use(...);
+            ...
+    - pattern-not-inside: |
+        ...
+        $APP.use(csurf(...));
+        ...
+    - pattern-not-inside: |
+        ...
+        $APP.use(lusca.csrf(...));
+        ...
+    - pattern-not-inside: |
+        ...
+        $APP.use(csrf(...));
+        ...
+    - metavariable-regex:
+        metavariable: $APP
+        regex: '^(app|server|expressApp|api|router)$'
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    owasp: "A01:2021 - Broken Access Control"
+    category: structural-config
+    precision: low
+    references:
+      - "https://owasp.org/www-community/attacks/csrf"
+      - "https://www.npmjs.com/package/csurf"
+      - "https://www.npmjs.com/package/lusca"

package/rules/unified/cwe-352/zm-py-cwe352-django-csrf.yaml ADDED Viewed

@@ -0,0 +1,74 @@
+# Source: common | Cluster: N/A
+# CWE-352: Django CSRF 防护绕过检测
+# 逐码 ZhuMa V4.3 — Python 框架特化规则库
+# 检测: @csrf_exempt滥用、CSRF中间件未启用
+rules:
+# ZM-PY-DJANGO-CSRF-001: @csrf_exempt装饰器滥用
+- id: zm-py-django-csrf-001
+  severity: WARNING
+  message: |
+    检测到使用 @csrf_exempt 装饰器禁用了Django的CSRF保护。
+    虽然有时API端点不需要CSRF(如使用Token认证)，但随意使用会增加CSRF攻击面。
+    修复方案:
+    1. 仅对确实不需要CSRF的端点使用@csrf_exempt(如机器API使用Token认证)
+    2. 对浏览器访问的端点保持CSRF中间件启用
+    3. 考虑使用@csrf_protect显式保护敏感端点
+    4. 始终配合SameSite Cookie属性使用
+  languages:
+    - python
+  pattern-either:
+    - pattern: |
+        @csrf_exempt
+        def $FUNC(...):
+          ...
+    - pattern: |
+        @csrf_exempt
+        class $VIEW(...):
+          ...
+    - pattern: |
+        @django.views.decorators.csrf.csrf_exempt
+        def $FUNC(...):
+          ...
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: WARNING
+    precision: very-high
+    category: csrf
+    framework: django
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://docs.djangoproject.com/en/stable/ref/csrf/"
+# ZM-PY-DJANGO-CSRF-002: 视图类CSRF豁免
+- id: zm-py-django-csrf-002
+  severity: WARNING
+  message: |
+    检测到在基于类的视图上使用 @method_decorator(csrf_exempt)。
+    这会禁用整个视图类的CSRF保护。
+    修复方案:
+    1. 使用csrf_exempt仅装饰特定HTTP方法: @method_decorator(csrf_exempt, name='dispatch')
+    2. 确保非豁免端点有CSRF保护
+    3. 审查所有豁免端点是否确实需要
+  languages:
+    - python
+  pattern-either:
+    - pattern: |
+        @method_decorator(csrf_exempt, name='dispatch')
+        class $VIEW(...):
+          ...
+    - pattern: '@method_decorator(csrf_exempt, name="$NAME")'
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: WARNING
+    precision: very-high
+    category: csrf
+    framework: django
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"

package/rules/unified/cwe-362/zm-java-cwe362-simpledateformat.yaml ADDED Viewed

@@ -0,0 +1,57 @@
+# Source: common | Cluster: N/A
+# CWE-362: 线程安全 — SimpleDateFormat 多线程
+# 逐码 ZhuMa V4.3 — 线程安全专项
+rules:
+# ZM-JAVA-CWE362-SDF-001: SimpleDateFormat 多线程共享
+- id: zm-java-cwe362-sdf-001
+  severity: WARNING
+  message: |
+    SimpleDateFormat 声明为静态变量在多线程环境中共享使用。
+    SimpleDateFormat 不是线程安全的，多线程并发 format/parse 会导致数据混乱或异常。
+    修复: 1. 使用 DateTimeFormatter (Java 8+, 线程安全)
+    2. 使用 ThreadLocal<SimpleDateFormat> 每个线程一个实例
+    3. 每次使用 new SimpleDateFormat() 创建新实例（性能较差）
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        private static final SimpleDateFormat $SDF = new SimpleDateFormat(...);
+    - pattern: |
+        public static final SimpleDateFormat $SDF = new SimpleDateFormat(...);
+    - pattern: |
+        static final SimpleDateFormat $SDF = new SimpleDateFormat(...);
+  metadata:
+    cwe: "CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')"
+    severity: WARNING
+    precision: very-high
+    category: thread-safety
+    owasp: "A04:2021 - Insecure Design"
+    likelihood: HIGH
+    impact: LOW
+    tags: [concurrency, thread-safety]
+# ZM-JAVA-CWE362-SDF-002: NumberFormat/DecimalFormat 多线程共享
+- id: zm-java-cwe362-sdf-002
+  severity: WARNING
+  message: |
+    NumberFormat/DecimalFormat 声明为静态变量（非线程安全），
+    多线程并发使用可能导致数值格式化错误。
+    修复: 使用 ThreadLocal<NumberFormat> 或每次创建新实例。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        private static final NumberFormat $NF = NumberFormat.getInstance();
+    - pattern: |
+        public static final DecimalFormat $DF = new DecimalFormat(...);
+  metadata:
+    cwe: "CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')"
+    severity: WARNING
+    precision: very-high
+    category: thread-safety
+    owasp: "A04:2021 - Insecure Design"
+    likelihood: MEDIUM
+    impact: LOW
+    tags: [concurrency, thread-safety]

package/rules/unified/cwe-377/zm-py-cwe377-race-condition.yaml ADDED Viewed

@@ -0,0 +1,58 @@
+# Source: common | Cluster: N/A
+# CWE-377: Python tempfile.mktemp 竞争条件
+# 逐码 ZhuMa V4.3 — Python 通用规则库
+# 检测: tempfile.mktemp() 不安全临时文件创建
+rules:
+# ZM-PY-RACECOND-001: tempfile.mktemp() TOCTOU竞争
+- id: zm-py-racecondition-001
+  severity: WARNING
+  message: |
+    检测到使用 tempfile.mktemp() 创建临时文件。
+    mktemp() 仅返回文件名而不创建文件，在文件名返回和实际创建之间存在
+    TOCTOU(Time-of-Check-Time-of-Use)竞争窗口。攻击者可预测文件名并
+    创建同名符号链接，实现任意文件写入/读取。
+    修复方案:
+    1. 使用 tempfile.mkstemp() 替代 mktemp()，它原子性地创建文件
+    2. 使用 tempfile.TemporaryFile() 自动清理的临时文件
+    3. 使用 tempfile.NamedTemporaryFile(delete=False) 持久化临时文件
+    4. 指定 dir 参数到仅当前用户可写的目录(/run/user/uid/)
+  languages:
+    - python
+  pattern-either:
+    - pattern: tempfile.mktemp(...)
+    - pattern: tempfile.mktemp()
+  metadata:
+    cwe: "CWE-377: Insecure Temporary File"
+    severity: WARNING
+    precision: very-high
+    category: race-condition
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://docs.python.org/3/library/tempfile.html#tempfile.mktemp"
+# ZM-PY-RACECOND-002: os.tmpnam()已弃用函数
+- id: zm-py-racecondition-002
+  severity: WARNING
+  message: |
+    检测到使用 os.tmpnam() 创建临时文件(已弃用)。
+    tmpnam()与mktemp()有相同的TOCTOU竞争问题，且在Python 3中已标记为不安全。
+    修复方案:
+    使用 tempfile.NamedTemporaryFile() 或 tempfile.mkstemp() 替代
+  languages:
+    - python
+  pattern-either:
+    - pattern: os.tmpnam()
+  metadata:
+    cwe: "CWE-377: Insecure Temporary File"
+    severity: WARNING
+    precision: very-high
+    category: race-condition
+    likelihood: LOW
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"