Skill

do-analyze

Executes SQL-based security audits on jar-analyzer.db from JAR analysis, including method call searches, call chains, Spring components, string searches, and vulnerability detection.

Java

SQLite

Spring Boot

security

backend

npx claudepluginhub jar-analyzer/jar-analyzer-claude --plugin jar-analyzer-plugin

Tool Access

This skill uses the workspace's default tool permissions.

Preview

在 `build-db` skill 构建好 `jar-analyzer.db` 后，使用本 skill 对数据库进行各类安全分析查询。

SKILL.md

Similar Skills

build-db

106

Builds SQLite analysis database from Java JAR/WAR/Class files using jar-analyzer-engine. Captures classes, methods, calls, inheritance, strings, Spring components for security audits and call analysis.

jar-analyzer-plugin

codeql

5.1k

Scans codebases for security vulnerabilities using CodeQL data flow and taint tracking analysis. Supports Python, JavaScript/TypeScript, Go, Java, C#, Ruby, Swift.

15 files13 tools

static-analysis

detecting-sql-injection-vulnerabilities

2.1k

Detects SQL injection vulnerabilities by tracing user inputs through code to database queries, flagging unsafe patterns like concatenation and unparameterized ORMs. Scans frameworks including Django, Rails, Express, Go.

8 files7 tools

sql-injection-detector

Stats

Parent Repo Stars106

Parent Repo Forks5

Last CommitMar 20, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

do-analyze — Jar Analyzer 数据库分析与安全审计

概述

在 build-db skill 构建好 jar-analyzer.db 后，使用本 skill 对数据库进行各类安全分析查询。通过 SQL 查询 + 反编译验证的方式，实现方法调用搜索、调用链追踪、漏洞模式检测等功能。

前提条件

已使用 build-db skill 构建了 jar-analyzer.db 数据库
当前工作目录下存在 jar-analyzer.db 文件
Java 8+ 可用（用于反编译验证）

数据库表结构

不要在本文件中重复描述数据库表结构。 请参考 <plugin_dir>/references/DATABASE.md 获取完整的数据库 Schema、字段说明、表关联关系和常用查询模式。

重要约定

方法唯一标识（四元组）

任何方法节点必须通过 四元组 唯一标识：

(jar_id, class_name, method_name, method_desc)

禁止仅用方法名进行 join 或追链，因为方法重载很常见。

类名格式

数据库中的类名使用 / 分隔（JVM 内部格式），而非 . 分隔：

✅ com/example/controller/UserController
❌ com.example.controller.UserController

方法描述符格式

使用 JVM 方法描述符格式：

(Ljava/lang/String;)V = void method(String)
(Ljava/lang/String;I)Ljava/lang/String; = String method(String, int)
()V = void method()

分析操作流程（SOP）

执行 SQL 查询的方式

优先使用 sqlite3 命令行工具（直接、高效）：

# 单条查询
sqlite3 jar-analyzer.db "SELECT COUNT(*) FROM method_table;"

# 格式化输出（带表头、列对齐）
sqlite3 -header -column jar-analyzer.db "SELECT class_name, method_name FROM method_table LIMIT 10;"

# 多条查询
sqlite3 -header -column jar-analyzer.db <<'EOF'
SELECT 'JAR文件' AS type, COUNT(*) AS count FROM jar_table
UNION ALL
SELECT '类', COUNT(*) FROM class_table
UNION ALL
SELECT '方法', COUNT(*) FROM method_table;
EOF

# 输出为 CSV
sqlite3 -header -csv jar-analyzer.db "SELECT * FROM spring_method_table;" > routes.csv

如果 sqlite3 不可用，使用 Python 作为备选：

import sqlite3

conn = sqlite3.connect('jar-analyzer.db')
cursor = conn.execute("SQL_QUERY_HERE")
for row in cursor:
    print(row)
conn.close()

将上述代码写入临时 .py 文件执行，分析完成后删除临时文件。

常用分析场景与 SQL

1. 项目概览 — 了解分析目标的基本信息

SELECT 'JAR文件' AS type, COUNT(*) AS count FROM jar_table
UNION ALL
SELECT '类', COUNT(*) FROM class_table
UNION ALL
SELECT '方法', COUNT(*) FROM method_table
UNION ALL
SELECT '方法调用', COUNT(*) FROM method_call_table
UNION ALL
SELECT '字符串常量', COUNT(*) FROM string_table
UNION ALL
SELECT 'Spring Controller', COUNT(*) FROM spring_controller_table
UNION ALL
SELECT 'Spring 映射', COUNT(*) FROM spring_method_table
UNION ALL
SELECT 'Servlet/Filter', COUNT(*) FROM java_web_table;

2. 方法调用搜索 — 查找谁调用了某个方法

-- 查找谁调用了某个特定类的方法（精确搜索）
SELECT DISTINCT
    caller_class_name, caller_method_name, caller_method_desc
FROM method_call_table
WHERE callee_class_name = 'java/lang/Runtime'
  AND callee_method_name = 'exec';

-- 模糊搜索
SELECT DISTINCT
    caller_class_name, caller_method_name,
    callee_class_name, callee_method_name
FROM method_call_table
WHERE callee_class_name LIKE '%ClassName%'
  AND callee_method_name LIKE '%methodName%';

3. 方法定义搜索 — 查找某个方法定义在哪里

-- 精确搜索
SELECT class_name, method_name, method_desc, is_static, line_number
FROM method_table
WHERE method_name = 'execute';

-- 模糊搜索
SELECT class_name, method_name, method_desc, line_number
FROM method_table
WHERE method_name LIKE '%upload%'
   OR method_name LIKE '%file%';

4. 反向调用链追踪 — 从 sink 回溯到 entry

-- 使用 SQLite 递归 CTE 追踪调用链（推荐）
WITH RECURSIVE call_chain AS (
    SELECT caller_class_name, caller_method_name, caller_method_desc,
           callee_class_name, callee_method_name, callee_method_desc, 1 AS depth
    FROM method_call_table
    WHERE callee_class_name = 'java/lang/Runtime' AND callee_method_name = 'exec'
    UNION ALL
    SELECT mc.caller_class_name, mc.caller_method_name, mc.caller_method_desc,
           mc.callee_class_name, mc.callee_method_name, mc.callee_method_desc, cc.depth + 1
    FROM method_call_table mc
    JOIN call_chain cc ON mc.callee_class_name = cc.caller_class_name
                      AND mc.callee_method_name = cc.caller_method_name
                      AND mc.callee_method_desc = cc.caller_method_desc
    WHERE cc.depth < 10
)
SELECT DISTINCT caller_class_name, caller_method_name, depth
FROM call_chain
ORDER BY depth;

也可以编写 Python 脚本实现 DFS/BFS 调用链追踪，灵活度更高。

5. Spring 入口分析

-- 列出所有 Spring Controller
SELECT class_name FROM spring_controller_table;

-- 列出所有 HTTP 映射（API 入口）
SELECT class_name, method_name, restful_type, path
FROM spring_method_table
ORDER BY path;

-- 查找特定 URL 模式的处理方法
SELECT class_name, method_name, method_desc, restful_type, path
FROM spring_method_table
WHERE path LIKE '%user%' OR path LIKE '%admin%';

6. Java Web 组件分析

-- 列出所有 Servlet/Filter/Listener
SELECT type_name, class_name FROM java_web_table;

-- 只看 Filter（可能是安全过滤器）
SELECT class_name FROM java_web_table WHERE type_name = 'Filter';

7. 字符串搜索 — 敏感信息检测

-- 搜索包含关键字的字符串（如密码、密钥等）
SELECT class_name, method_name, value
FROM string_table
WHERE value LIKE '%password%'
   OR value LIKE '%secret%'
   OR value LIKE '%key%'
   OR value LIKE '%token%';

-- 搜索 JNDI/LDAP/RMI 相关字符串
SELECT class_name, method_name, value
FROM string_table
WHERE value LIKE '%jndi%' OR value LIKE '%ldap://%' OR value LIKE '%rmi://%';

-- 搜索 SQL 语句（可能有 SQL 注入风险）
SELECT class_name, method_name, value
FROM string_table
WHERE value LIKE '%SELECT%FROM%'
   OR value LIKE '%INSERT%INTO%'
   OR value LIKE '%UPDATE%SET%'
   OR value LIKE '%DELETE%FROM%';

-- 搜索 IP 地址和 URL
SELECT class_name, method_name, value
FROM string_table
WHERE value LIKE '%://%'
   OR value LIKE '%.%.%.%';

8. 继承关系分析

-- 查找某个类的所有子类
SELECT class_name, super_class_name
FROM class_table
WHERE super_class_name LIKE '%AbstractController%';

-- 查找某个接口的所有实现类
SELECT class_name, interface_name
FROM interface_table
WHERE interface_name LIKE '%Serializable%';

-- 查找方法实现（接口方法 → 具体实现）
SELECT class_name, method_name, method_desc, impl_class_name
FROM method_impl_table
WHERE method_name = 'doFilter';

9. 注解分析

-- 查找所有带特定注解的类/方法
SELECT class_name, method_name, anno_name
FROM anno_table
WHERE anno_name LIKE '%RequestMapping%'
   OR anno_name LIKE '%GetMapping%'
   OR anno_name LIKE '%PostMapping%';

-- 查找 Controller 类注解
SELECT class_name, anno_name
FROM anno_table
WHERE method_name IS NULL
  AND anno_name LIKE '%Controller%';

10. 漏洞 Sink 检测

Sink 定义文件：<plugin_dir>/references/dfs-sink.json

该 JSON 文件包含完整的危险方法（sink）列表，每个条目包含 className、methodName、methodDesc 三个字段。进行漏洞检测时，必须读取并解析该文件，然后基于其中的 sink 定义构造 SQL 查询。

Sink 检测流程：

读取 <plugin_dir>/references/dfs-sink.json 文件
解析 JSON 获取所有 sink 条目
对每个 sink，查询 method_call_table 中是否存在调用：

-- 通用 sink 查询模板（根据 dfs-sink.json 中的条目填充参数）
SELECT DISTINCT
    caller_class_name, caller_method_name, caller_method_desc
FROM method_call_table
WHERE callee_class_name = '<sink.className>'
  AND callee_method_name = '<sink.methodName>'
  AND callee_method_desc = '<sink.methodDesc>';

dfs-sink.json 覆盖的漏洞类型包括但不限于：

漏洞类型	典型 Sink
RCE（远程代码执行）	`Runtime.exec`、`ProcessBuilder.start`、`ScriptEngine.eval`
JNDI 注入	`InitialContext.lookup`、`Context.lookup`
LDAP 注入	`DirContext.search`、`LdapContext.search`
SQL 注入	`Statement.execute/executeQuery/executeUpdate`、`Connection.prepareStatement/prepareCall`
反序列化	`ObjectInputStream.readObject`、`XMLDecoder.readObject`、`Yaml.load`、`JSON.parseObject`、`XStream.fromXML` 等
文件操作	`FileInputStream/FileOutputStream/RandomAccessFile` 构造、`File.delete`
SSRF	`URL.openConnection`、`HttpURLConnection.connect`
类加载	`BCEL ClassLoader.loadClass`

注意：dfs-sink.json 中的 methodDesc 是精确匹配的，确保查询时使用完整的描述符。

批量 Sink 检测示例（Python）：

import json
import sqlite3

# 读取 sink 定义
with open('<plugin_dir>/references/dfs-sink.json', 'r') as f:
    sinks = json.load(f)

conn = sqlite3.connect('jar-analyzer.db')

for sink in sinks:
    cursor = conn.execute("""
        SELECT DISTINCT caller_class_name, caller_method_name, caller_method_desc
        FROM method_call_table
        WHERE callee_class_name = ?
          AND callee_method_name = ?
          AND callee_method_desc = ?
    """, (sink['className'], sink['methodName'], sink['methodDesc']))
    
    results = cursor.fetchall()
    if results:
        print(f"\n=== {sink['boxName']} ===")
        for row in results:
            print(f"  {row[0]}.{row[1]} {row[2]}")

conn.close()

反编译验证（关键步骤）

重要：SQL 查询只能发现方法调用关系，无法判断数据流和上下文。 必须使用 --decompile 反编译可疑类的源码，从具体代码中确认问题是否真实存在。

当通过 SQL 分析发现可疑调用后，使用反编译功能查看完整源码：

java -jar <plugin_dir>/bin/jar-analyzer-engine-1.2.0.jar \
    -j <target_jar_path> \
    -d <fully.qualified.ClassName>

类名使用 . 分隔格式（如 com.example.MyController），而非数据库中的 / 分隔格式。数据库中查到的类名是 / 分隔的，需要替换为 . 再传给 -d 参数。

反编译确认要点：

查看可疑方法的完整实现，确认外部输入是否能到达危险调用
检查是否有参数校验、白名单过滤、安全沙箱等防护措施
确认调用路径上是否存在条件分支导致实际不可达
对于调用链中的每一跳，都建议反编译查看中间方法的逻辑

示例：SQL 查询发现 com/example/controller/FileController 的 upload 方法调用了 FileOutputStream.<init>，反编译确认：

java -jar <plugin_dir>/bin/jar-analyzer-engine-1.2.0.jar \
    -j app.jar \
    -d com.example.controller.FileController

查看反编译结果中 upload 方法是否对文件名做了路径穿越防护、文件类型校验等。

分析工作流建议

基本流程

了解目标：执行概览查询，了解项目规模和技术栈
识别入口：分析 Spring 映射、Servlet/Filter 等 HTTP 入口点
检测 Sink：读取 dfs-sink.json，批量检测所有已知危险方法调用
追踪链路：从 sink 向上追踪调用链，检查是否可从入口可达
反编译确认：对链路上的关键类使用 --decompile 查看源码，确认数据流是否可控、是否有安全防护
字符串辅助：搜索敏感字符串作为补充线索
形成报告：汇总发现的安全问题

优先级建议

优先级	漏洞类型	危害程度
P0	RCE（命令执行）、反序列化	严重
P1	SQL 注入、JNDI 注入、SpEL 注入	高
P2	SSRF、XXE、任意文件读写	高
P3	文件上传、路径穿越	中
P4	信息泄露、硬编码密钥	中

注意事项

SQL 查询中的类名使用 / 分隔格式
反编译命令中的类名使用 . 分隔格式
method_desc 是精确匹配的关键，避免因方法重载导致误判
callee_jar_id = -1 表示被调用方法来自 JDK/外部库（不在分析的 JAR 中）
大型数据库查询可能较慢，建议使用 LIMIT 限制结果数量
优先使用 sqlite3 命令行查询，不可用时再使用 Python
分析完成后请删除临时脚本文件