@zhuma4/cli 4.0.0-alpha.1

package/rules/common/zm-java-cwe352-csrf-depth.yaml

@@ -0,0 +1,107 @@
+# CWE-352: Java CSRF 深度检测
+# 逐码 ZhuMa V4.1 Sprint — Java 规则库
+# 覆盖: CSRF令牌缺失+SameSite未设+自定义Filter未校验Referer
+
+rules:
+
+# ZM-JAVA-CSRF-DEPTH-001: CSRF Token 缺失检测
+- id: zm-java-csrf-depth-001
+  severity: WARNING
+  message: |
+    检测到 Spring Security 配置中 CSRF 保护被禁用(csrf().disable())，
+    同时未发现自定义 CSRF Filter 或 SameSite Cookie 设置。
+    攻击者可利用跨站请求伪造执行未授权操作(修改密码、转账等)。
+
+    修复:
+    1. 移除 .csrf().disable() 使用 Spring Security 默认 CSRF 保护
+    2. 如为 REST API(无Cookie认证)，确认使用 Bearer Token/JWT 认证后 CSRF 不适用
+    3. 设置 Cookie SameSite=Strict/Lax 作为额外防护
+    4. 添加 X-XSRF-TOKEN header 校验
+  languages:
+    - java
+  patterns:
+    - pattern-either:
+        - pattern: $SEC.http.csrf($X).disable()
+        - pattern: http.csrf($X).disable()
+        - pattern: $HTTP.csrf($X).disable()
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: WARNING
+    precision: very-high
+    category: csrf
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://docs.spring.io/spring-security/reference/servlet/exploits/csrf.html"
+
+# ZM-JAVA-CSRF-DEPTH-002: 自定义 Filter 未校验 Origin/Referer
+- id: zm-java-csrf-depth-002
+  severity: WARNING
+  message: |
+    检测到自定义 Filter 或 OncePerRequestFilter 处理请求但未校验 Origin/Referer 头。
+    自定义 CSRF 防护 Filter 应校验请求来源，防止跨站请求伪造。
+
+    修复:
+    1. 在 doFilter 中校验 request.getHeader("Origin") 或 request.getHeader("Referer")
+    2. 白名单校验 Origin 域名
+    3. 对状态变更请求(POST/PUT/DELETE)强制校验 Origin
+    4. 使用 CorsUtils.isCorsRequest() 辅助判断
+  languages:
+    - java
+  patterns:
+    - pattern-either:
+        - pattern: |
+            public class $FILTER extends OncePerRequestFilter {
+              ...
+            }
+        - pattern: |
+            public class $FILTER extends GenericFilterBean {
+              ...
+            }
+        - pattern: |
+            public class $FILTER implements Filter {
+              ...
+            }
+    - pattern-not: |
+        $REQ.getHeader("Origin")
+    - pattern-not: |
+        $REQ.getHeader("Referer")
+    - pattern-not: |
+        $REQ.getHeader("Sec-Fetch-Site")
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: WARNING
+    precision: low
+    category: csrf
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html"
+
+# ZM-JAVA-CSRF-DEPTH-003: Cookie 缺少 SameSite 属性
+- id: zm-java-csrf-depth-003
+  severity: WARNING
+  message: |
+    检测到 Servlet Cookie 或 Spring ResponseCookie 创建时未设置 SameSite 属性。
+    缺少 SameSite 属性使 Cookie 在所有跨站请求中携带，增加 CSRF 风险。
+
+    修复:
+    1. Spring: ResponseCookie.from(name, value).sameSite("Strict").build()
+    2. Servlet: 使用 setAttribute 或手动拼接 Set-Cookie header
+    3. 使用 Spring Session 的 CookieSerializer 设置:
+       cookieSerializer.setSameSite("Strict")
+    4. 生产环境同时设置 Secure=true (HTTPS only)
+  languages:
+    - java
+  pattern-either:
+    - pattern: new Cookie($NAME, $VALUE)
+    - pattern: ResponseCookie.from($NAME, $VALUE).build()
+    - pattern: $RESPONSE.addCookie($COOKIE)
+    - pattern: DefaultCookieSerializer()
+    - pattern: new DefaultCookieSerializer()
+  metadata:
+    cwe: "CWE-352: Cross-Site Request Forgery (CSRF)"
+    severity: WARNING
+    precision: low
+    category: csrf
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite"

package/rules/common/zm-java-cwe352-csrf-disabled.yaml

@@ -0,0 +1,15 @@
+# CWE-352: Spring Security CSRF 禁用检测
+rules:
+- id: zm-java-csrf-01
+  severity: WARNING
+  message: SecurityConfig 中显式禁用 CSRF 保护(.csrf().disable())，允许跨站请求伪造攻击。
+  languages: [java]
+  pattern: $SECURITY.http.csrf().disable()
+  metadata: { cwe: "CWE-352", precision: very-high, category: config, owasp: "A01:2021 - Broken Access Control" }
+
+- id: zm-java-csrf-02
+  severity: WARNING
+  message: SecurityFilterChain 中 csrf.disable() 禁用 CSRF 保护。
+  languages: [java]
+  pattern: http.csrf($X).disable()
+  metadata: { cwe: "CWE-352", precision: very-high, category: config, owasp: "A01:2021" }

package/rules/common/zm-java-cwe501-trust-boundary.yaml

@@ -0,0 +1,124 @@
+# CWE-501: Java 信任边界违反检测
+# 逐码 ZhuMa V4.1 Sprint — Java 规则库
+# 覆盖: getSession跨请求未验证、ThreadLocal存储用户数据
+
+rules:
+
+# ZM-JAVA-TB-001: HttpSession 跨请求信任未验证
+- id: zm-java-tb-001
+  severity: WARNING
+  message: |
+    检测到从 HttpSession 中直接获取属性并用于后续操作，未验证属性值的有效性和完整性。
+    Session 数据虽存储在服务端，但若由客户端间接控制(如通过可控的 session ID 或反序列化)，
+    攻击者可注入恶意数据。
+
+    违反信任边界的场景:
+    1. session.getAttribute("role") == "admin" → 信任客户端可控的session属性
+    2. session.getAttribute("userId") → 直接用于数据库查询(未从认证上下文重新获取)
+    3. 跨集群节点的session共享未做完整性校验
+
+    修复:
+    1. 使用认证令牌(JWT/Token)而非session属性存储权限决策
+    2. 每次关键操作前重新验证用户权限(查DB)
+    3. 对session中的敏感数据进行签名/HMAC校验
+    4. 使用 Spring Security SecurityContext 管理认证信息
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $SESSION.getAttribute("role")
+    - pattern: |
+        $SESSION.getAttribute("$KEY").equals("admin")
+    - pattern: |
+        $SESSION.getAttribute("$KEY").equals($ADMIN)
+  metadata:
+    cwe: "CWE-501: Trust Boundary Violation"
+    severity: WARNING
+    precision: medium
+    category: trust-boundary
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A04:2021 - Insecure Design"
+    references:
+      - "https://cwe.mitre.org/data/definitions/501.html"
+
+# ZM-JAVA-TB-002: ThreadLocal 存储用户身份(跨线程污染风险)
+- id: zm-java-tb-002
+  severity: WARNING
+  message: |
+    检测到 ThreadLocal 用于存储用户身份/会话数据。
+    ThreadLocal 的常见风险:
+    1. 线程池环境下未清理 → 后续请求继承前一个用户的ThreadLocal数据
+    2. 异步/响应式编程中线程切换 → 数据丢失或不正确
+    3. 内存泄漏 → ThreadLocal未在finally中remove()
+
+    修复:
+    1. 使用 Spring SecurityContextHolder (自动清理)
+    2. 在 finally 块中调用 threadLocal.remove()
+    3. 使用 Filter/Interceptor 在请求结束时统一清理
+    4. 考虑使用 RequestScope Bean 替代 ThreadLocal
+    5. 使用 TransmittableThreadLocal (支持线程池传递)
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $USER_HOLDER.set($SESSION.getAttribute($KEY))
+    - pattern: |
+        $TL.set($REQ.getSession().getAttribute($KEY))
+    - pattern: |
+        $CTX.set($USER)
+    - pattern: |
+        ThreadLocal<$TYPE> $NAME = new ThreadLocal<>();
+    - pattern: |
+        new ThreadLocal<$TYPE>()
+    - pattern: |
+        new InheritableThreadLocal()
+  metadata:
+    cwe: "CWE-501: Trust Boundary Violation"
+    severity: WARNING
+    precision: low
+    category: trust-boundary
+    likelihood: MEDIUM
+    impact: MEDIUM
+    owasp: "A04:2021 - Insecure Design"
+    references:
+      - "https://cwe.mitre.org/data/definitions/501.html"
+
+# ZM-JAVA-TB-003: 客户端数据直接用于安全决策(trust boundary crossing)
+- id: zm-java-tb-003
+  severity: HIGH
+  message: |
+    检测到 request.getParameter / request.getHeader 的值直接用于角色/权限判断。
+    客户端数据(请求参数/Header/Cookie)跨越信任边界进入服务端代码，
+    不应直接用于安全决策。
+
+    危险示例:
+    if ("admin".equals(request.getParameter("role"))) { ... }
+    if (request.getHeader("X-Auth-Role").equals("admin")) { ... }
+
+    修复:
+    1. 从服务端 Session/SecurityContext 获取用户角色
+    2. 从数据库重新加载用户权限信息
+    3. 使用 JWT token(签名验证后)提取角色信息
+    4. 禁止从请求参数/Header中读取角色/权限信息
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $REQ.getParameter("role")
+    - pattern: |
+        $REQ.getParameter("$ROLE")
+    - pattern: |
+        $REQ.getHeader("$ROLE")
+    - pattern: |
+        $REQ.getHeader("$AUTH")
+  metadata:
+    cwe: "CWE-501: Trust Boundary Violation"
+    severity: HIGH
+    precision: medium
+    category: trust-boundary
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A04:2021 - Insecure Design"
+    references:
+      - "https://cwe.mitre.org/data/definitions/501.html"

package/rules/common/zm-java-cwe502-deserial-depth.yaml

@@ -0,0 +1,128 @@
+# CWE-502 反序列化深度覆盖 (v2): 常见不安全反序列化库
+# 原 cwe-502-insecure-deserialization.yaml — 仅Java原生ObjectInputStream
+# 补: Kryo/Hessian/JNDI 反序列化入口
+
+rules:
+
+# ZM-JAVA-KRYO-001: Kryo 反序列化未设置 ClassResolver
+- id: zm-java-kryo-001
+  severity: CRITICAL
+  message: |
+    Kryo 反序列化未限制可反序列化的类——攻击者可通过 gadget chain 执行任意代码。
+    使用 `Kryo.setClassLoader()` 或 `Kryo.setReferences(false)` 限制危险类加载。
+    推荐迁移到 Protobuf/JSON 等非原生反序列化方案。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $KRYO = new Kryo();
+        ...
+        $KRYO.readObject($INPUT, $CLS);
+    - pattern: |
+        $KRYO.readObject($INPUT, $CLS)
+    - pattern: |
+        new Kryo()
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: high
+    tags: [deserialization, kryo, rce]
+    references:
+      - https://github.com/EsotericSoftware/kryo
+
+# ZM-JAVA-HESSIAN-001: Hessian 反序列化入口检测
+- id: zm-java-hessian-001
+  severity: CRITICAL
+  message: |
+    HessianInput / Hessian2Input 直接反序列化外部输入——Hessian 已知多种 gadget chain。
+    使用 Hessian 前校验输入来源可信，或迁移到 gRPC/Spring Remoting with basic auth。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $HIN = new HessianInput($STREAM);
+        ...
+        $HIN.readObject();
+    - pattern: |
+        $HIN = new Hessian2Input($STREAM);
+        ...
+        $HIN.readObject();
+    - pattern: |
+        $HIN.readObject()
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: high
+    tags: [deserialization, hessian, rce]
+    references:
+      - https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html
+
+# ZM-JAVA-JNDI-LOOKUP-001: JNDI lookup 使用用户可控字符串
+- id: zm-java-jndi-lookup-001
+  severity: CRITICAL
+  message: |
+    JNDI lookup(initial) 使用用户可控 URI — 可触发 JNDI 注入攻击。
+    这是 Log4Shell (CVE-2021-44228) 的关键 sink。升级 JDK (>= 8u191) 并禁用远程类加载。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $CTX = new InitialContext();
+        ...
+        $CTX.lookup($INPUT);
+    - pattern: |
+        InitialContext.doLookup($INPUT)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: very-high
+    tags: [deserialization, jndi, log4shell, rce]
+    references:
+      - https://www.cvedetails.com/cve/CVE-2021-44228/
+
+# ZM-JAVA-JACKSON-UNSAFE-001: Jackson ObjectMapper 启用 defaultTyping
+- id: zm-java-jackson-unsafe-001
+  severity: CRITICAL
+  message: |
+    ObjectMapper 启用 defaultTyping / enableDefaultTyping — 存在多态反序列化 RCE 风险。
+    此配置允许攻击者通过 @class 字段指定任意类反序列化。
+    关闭 defaultTyping 并使用 @JsonTypeInfo 显式注册允许的子类型。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $MAPPER.enableDefaultTyping()
+    - pattern: |
+        $MAPPER.enableDefaultTyping($X)
+    - pattern: |
+        ObjectMapper().enableDefaultTyping()
+    - pattern: |
+        new ObjectMapper().enableDefaultTyping()
+    - pattern: |
+        $MAPPER.activateDefaultTyping($PF)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: very-high
+    tags: [deserialization, jackson, rce]
+    references:
+      - https://cowtowncoder.medium.com/on-jackson-cves-dont-panic-here-is-what-you-need-to-know-54cd0d6e8062
+
+# ZM-JAVA-JAVA-SERIAL-001: ObjectInputStream + readObject (增强, 补充原有cwe502规则)
+- id: zm-java-serial-001
+  severity: CRITICAL
+  message: |
+    ObjectInputStream.readObject() 直接反序列化可能存在不安全输入。
+    使用 ValidatingObjectInputStream (Apache Commons IO) 限制允许反序列化的类白名单。
+  languages:
+    - java
+  pattern-either:
+    - pattern: new ObjectInputStream($INPUT)
+    - pattern: $OIS = new ObjectInputStream($INPUT)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    precision: high
+    tags: [deserialization, objectinputstream, rce]
+    references:
+      - https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

package/rules/common/zm-java-cwe502-fastjson.yaml

@@ -0,0 +1,137 @@
+# CWE-502: FastJSON AutoType 不安全反序列化检测
+# 逐码 ZhuMa V4.1 — 通用规则库
+# 检测: JSON.parseObject() 且未设置 SafeMode 或 ParserConfig AutoType 配置不当
+
+rules:
+
+# ZM-JAVA-FJ-001: FastJSON parseObject 未开启 SafeMode
+- id: zm-java-fj-001
+  severity: ERROR
+  message: |
+    检测到 FastJSON JSON.parseObject() 调用，未显式启用 SafeMode。
+    FastJSON < 1.2.83 默认 AutoType 支持可导致任意类反序列化，攻击者可通过 @type 字段
+    指定任意类触发 RCE。已公开 gadget 包括: JdbcRowSetImpl、TemplatesImpl、BasicDataSource 等。
+    修复方案:
+    1. 升级 FastJSON 至 1.2.83+ 或 2.0.25+
+    2. 显式启用 SafeMode: ParserConfig.getGlobalInstance().setSafeMode(true)
+    3. 若必须使用 AutoType，配置严格白名单: ParserConfig.getGlobalInstance().addAccept("com.example.")
+    4. 迁移至 Jackson/Gson (默认不支持任意类型反序列化)
+    参考:
+    - CVE-2022-25845 (FastJSON AutoType RCE)
+    - https://github.com/alibaba/fastjson/wiki/enable_autotype
+  languages:
+    - java
+  patterns:
+    - pattern-inside: |
+        import com.alibaba.fastjson.JSON;
+        ...
+    - pattern-either:
+        - pattern: |
+            JSON.parseObject($INPUT)
+        - pattern: |
+            JSON.parseObject($INPUT, ...)
+        - pattern: |
+            JSON.parse($INPUT)
+        - pattern: |
+            JSON.parse($INPUT, ...)
+        - pattern: |
+            JSON.parseArray($INPUT)
+        - pattern: |
+            JSON.parseArray($INPUT, ...)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: ERROR
+    precision: high
+    category: deserialization
+    likelihood: HIGH
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    references:
+      - "https://nvd.nist.gov/vuln/detail/CVE-2022-25845"
+      - "https://github.com/alibaba/fastjson/wiki/security_update"
+
+# ZM-JAVA-FJ-002: FastJSON AutoType 显式开启 (高危)
+- id: zm-java-fj-002
+  severity: ERROR
+  message: |
+    检测到 FastJSON 显式启用了 AutoTypeSupport。
+    开启 AutoType 后，攻击者可通过 @type 字段指定任意类触发反序列化 gadget 链。
+    应立即禁用 AutoType 并启用 SafeMode。
+    修复方案:
+    1. 移除 autoTypeSupport=true 配置
+    2. 启用 SafeMode: ParserConfig.getGlobalInstance().setSafeMode(true)
+    3. 仅在必须时使用 addAccept() 白名单
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        ParserConfig.getGlobalInstance().setAutoTypeSupport(true)
+    - pattern: |
+        $CONFIG.setAutoTypeSupport(true)
+    - pattern: |
+        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: ERROR
+    precision: very-high
+    category: deserialization
+    likelihood: HIGH
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+
+# ZM-JAVA-FJ-003: FastJSON @type 反序列化 + 未配置白名单
+- id: zm-java-fj-003
+  severity: ERROR
+  message: |
+    检测到 FastJSON 使用 JSON.parseObject() 解析可能含 @type 字段的 JSON 输入。
+    若输入来自用户且未启用 SafeMode，攻击者可在 JSON 中注入 {"@type":"com.sun.rowset.JdbcRowSetImpl",...}
+    实现 JNDI 注入 RCE。
+    修复方案:
+    1. 启用 SafeMode: ParserConfig.getGlobalInstance().setSafeMode(true)
+    2. 在 JSON 解析前过滤/移除 @type 字段
+    3. 升级至 FastJSON 2.0.25+ (默认安全模式)
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        JSON.parseObject($REQ.getParameter(...))
+    - pattern: |
+        JSON.parse($REQ.getParameter(...))
+    - pattern: |
+        JSON.parseObject($REQ.getParameter(...), $CLASS)
+    - pattern: |
+        JSON.parseArray($REQ.getParameter(...), $CLASS)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: ERROR
+    precision: high
+    category: deserialization
+    likelihood: HIGH
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+
+# ZM-JAVA-FJ-004: FastJSON2 parseObject 未开启安全配置
+- id: zm-java-fj-004
+  severity: HIGH
+  message: |
+    检测到 FastJSON2 JSON.parseObject() 调用。FastJSON2 1.x 默认关闭 AutoType，
+    但若通过配置开启，仍存在反序列化风险。
+    修复方案:
+    1. 确保使用 FastJSON2 2.0.25+ 版本 (默认安全)
+    2. 不显式开启 AutoType
+    3. 使用 JSONReader.Feature.SupportAutoType 时配合白名单
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        com.alibaba.fastjson2.JSON.parseObject($INPUT)
+    - pattern: |
+        com.alibaba.fastjson2.JSON.parse($INPUT)
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: HIGH
+    precision: high
+    category: deserialization
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"

package/rules/common/zm-java-cwe502-gadget.yaml

@@ -0,0 +1,158 @@
+# CWE-502: Java 反序列化 Gadget 链检测
+# 逐码 ZhuMa V4.1 — 通用规则库
+# 检测: ObjectInputStream.readObject() 且 classpath 含已知危险 gadget 库
+
+rules:
+
+# ZM-JAVA-DS-GADGET-001: ObjectInputStream + Commons-Collections
+- id: zm-java-ds-gadget-001
+  severity: ERROR
+  message: |
+    检测到 ObjectInputStream.readObject() 与 Apache Commons Collections 同时使用。
+    Commons Collections 3.x/4.x 含已公开的反序列化 Gadget 链（如 InvokerTransformer、ChainedTransformer），
+    攻击者可通过构造恶意序列化对象实现远程代码执行（RCE）。
+    修复方案:
+    1. 升级至 Commons Collections 4.4.6+/3.2.3+ 版本（修复了不安全反序列化）
+    2. 使用 ValidatingObjectInputStream 限制可反序列化类型
+    3. 替换为 JSON/Protobuf 等安全序列化方案
+    参考:
+    - CVE-2015-6420 (Apache Commons Collections)
+    - ysoserial CommonsCollections1-7
+  languages:
+    - java
+  patterns:
+    - pattern-either:
+        - pattern: |
+            new ObjectInputStream(...).readObject();
+        - pattern: |
+            $OIS = new ObjectInputStream(...);
+            ...
+            $OIS.readObject();
+    - pattern-either:
+        - pattern: |
+            import org.apache.commons.collections4.*;
+            ...
+        - pattern: |
+            import org.apache.commons.collections.*;
+            ...
+        - pattern: |
+            import org.apache.commons.collections4.Transformer;
+            ...
+        - pattern: |
+            import org.apache.commons.collections.Transformer;
+            ...
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: ERROR
+    precision: medium
+    category: deserialization
+    likelihood: HIGH
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    references:
+      - "https://nvd.nist.gov/vuln/detail/CVE-2015-6420"
+      - "https://github.com/frohoff/ysoserial"
+
+# ZM-JAVA-DS-GADGET-002: ObjectInputStream + BeanShell
+- id: zm-java-ds-gadget-002
+  severity: ERROR
+  message: |
+    检测到 ObjectInputStream.readObject() 与 BeanShell 同时使用。
+    BeanShell 的 Interpreter 可通过 PriorityComparator gadget 触发任意代码执行。
+    攻击者可通过构造恶意序列化 BeanShell 对象实现 RCE。
+    修复方案:
+    1. 移除 BeanShell 依赖或替换为安全的表达式引擎
+    2. 使用 ValidatingObjectInputStream 限制反序列化类型
+    3. 使用 JSON/Protobuf 替代 Java 原生序列化
+    参考: ysoserial BeanShell1
+  languages:
+    - java
+  patterns:
+    - pattern-either:
+        - pattern: |
+            new ObjectInputStream(...).readObject();
+        - pattern: |
+            $OIS = new ObjectInputStream(...);
+            ...
+            $OIS.readObject();
+    - pattern: |
+        import bsh.*;
+        ...
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: ERROR
+    precision: medium
+    category: deserialization
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+    references:
+      - "https://github.com/frohoff/ysoserial"
+
+# ZM-JAVA-DS-GADGET-003: ObjectInputStream + Spring Beans
+- id: zm-java-ds-gadget-003
+  severity: ERROR
+  message: |
+    检测到 ObjectInputStream.readObject() 与 Spring Beans 同时使用。
+    可利用 Spring BeanWrapperImpl / MethodInvokeTypeProvider 构造反序列化 gadget 链。
+    修复方案:
+    1. 使用 ValidatingObjectInputStream 限制反序列化类型白名单
+    2. 避免对不可信数据进行 Java 原生反序列化
+    3. 使用 Jackson/Gson + 类型白名单或 Protobuf
+  languages:
+    - java
+  patterns:
+    - pattern-either:
+        - pattern: |
+            new ObjectInputStream(...).readObject();
+        - pattern: |
+            $OIS = new ObjectInputStream(...);
+            ...
+            $OIS.readObject();
+    - pattern-either:
+        - pattern: |
+            import org.springframework.beans.*;
+            ...
+        - pattern: |
+            import org.springframework.beans.factory.*;
+            ...
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: ERROR
+    precision: medium
+    category: deserialization
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"
+
+# ZM-JAVA-DS-GADGET-004: ObjectInputStream + JNDI 可被利用
+- id: zm-java-ds-gadget-004
+  severity: ERROR
+  message: |
+    检测到 ObjectInputStream.readObject() 与 JNDI 查找同一文件中出现。
+    JNDI 注入常结合反序列化 gadget 实现 RCE（如 CVE-2021-44228 Log4Shell 变种）。
+    修复方案:
+    1. 禁用远程 JNDI 查找: -Dcom.sun.jndi.ldap.object.trustURLCodebase=false
+    2. JDK 升级至 8u191+/11.0.1+/17+ (默认禁用远程 codebase)
+    3. 避免对不可信数据进行反序列化，使用白名单机制
+  languages:
+    - java
+  patterns:
+    - pattern-inside: |
+        import javax.naming.*;
+        ...
+    - pattern-either:
+        - pattern: |
+            new ObjectInputStream(...).readObject();
+        - pattern: |
+            $OIS = new ObjectInputStream(...);
+            ...
+            $OIS.readObject();
+  metadata:
+    cwe: "CWE-502: Deserialization of Untrusted Data"
+    severity: ERROR
+    precision: low
+    category: deserialization
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A08:2021 - Software and Data Integrity Failures"