Source code Review / SAST Tools
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Hay un paquete gratuito para revisar PRs.
Es una herramienta de código abierto.
GA
C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta
Kotlin · Rust
Experimental
Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·
También puedes usar la semgrep VSCode Extension para obtener los hallazgos dentro de VSCode.
Hay una versión gratuita instalable.
Hay una versión gratuita instalable pero según la licencia, solo puedes usar la versión gratuita de codeQL en proyectos de código abierto.
Lo primero que necesitas hacer es preparar la base de datos (crear el árbol de código) para que luego las consultas se ejecuten sobre ella.
Puedes permitir que codeql identifique automáticamente el lenguaje del repositorio y cree la base de datos
Esto generalmente desencadenará un error diciendo que se especificaron más de un idioma (o se detectó automáticamente). ¡Verifica las siguientes opciones para solucionar esto!
Puedes hacer esto manualmente indicando el repo y el idioma (lista de idiomas)
Si tu repositorio está utilizando más de 1 idioma, también puedes crear 1 base de datos por idioma indicando cada idioma.
También puedes permitir que codeql
identifique todos los lenguajes por ti y cree una base de datos por lenguaje. Necesitas darle un GITHUB_TOKEN.
Ahora es finalmente el momento de analizar el código
Recuerda que si usaste varios lenguajes, se habría creado una base de datos por lenguaje en la ruta que especificaste.
Puedes visualizar los hallazgos en https://microsoft.github.io/sarif-web-component/ o utilizando la extensión de VSCode SARIF viewer.
También puedes usar la extensión de VSCode para obtener los hallazgos dentro de VSCode. Aún necesitarás crear una base de datos manualmente, pero luego puedes seleccionar cualquier archivo y hacer clic en Right Click
-> CodeQL: Run Queries in Selected Files
Hay una versión gratuita instalable.
Puedes usar también la snyk VSCode Extension para obtener hallazgos dentro de VSCode.
Es Open Source, pero parece no mantenido.
Java (Maven y Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, y Javascript (Node.js).
Gratis para repos públicos.
yarn
pnpm
nodejsscan: Escáner de código de seguridad estático (SAST) para aplicaciones Node.js impulsado por libsast y semgrep.
RetireJS: El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.
electronegativity: Es una herramienta para identificar configuraciones incorrectas y anti-patrones de seguridad en aplicaciones basadas en Electron.
Bandit: Bandit es una herramienta diseñada para encontrar problemas de seguridad comunes en el código Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta los plugins apropiados contra los nodos del AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.
safety: Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las remediaciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrolladores, en pipelines de CI/CD y en sistemas de producción.
Pyt: Sin mantenimiento.
Ejecutar Jar
java -jar [jar]
Descomprimir Jar
unzip -d [directorio de salida] [jar]
Crear Jar
jar -cmf META-INF/MANIFEST.MF [jar de salida] *
Base64 SHA256
sha256sum [archivo] | cut -d' ' -f1 | xxd -r -p | base64
Eliminar Firma
rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
Eliminar de Jar
zip -d [jar] [archivo a eliminar]
Descompilar clase
procyon -o . [ruta a la clase]
Descompilar Jar
procyon -jar [jar] -o [directorio de salida]
Compilar clase
javac [ruta al archivo .java]
https://www.pluginvulnerabilities.com/plugin-security-checker/
Burp:
Spider y descubrir contenido
Sitemap > filtrar
Sitemap > clic derecho en el dominio > Herramientas de compromiso > Encontrar scripts
waybackurls <domain> |grep -i "\.js" |sort -u
Ver algunas de las herramientas mencionadas en 'Desofuscar/Desempaquetar' a continuación también.
Nota: Puede que no sea posible desofuscar completamente.
Encontrar y usar archivos .map:
Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
Comúnmente, foo.js.map se mapea a foo.js. Búscalos manualmente.
Usa JS Miner para buscarlos.
Asegúrate de que se realice un escaneo activo.
Lee 'Consejos/Notas'
Si se encuentran, usa Maximize para desofuscar.
Sin archivos .map, prueba JSnice:
Referencias: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
Consejos:
Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript", y deselecciona "Infer types" para reducir el desorden en el código con comentarios.
Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.
Para algunas alternativas más modernas a JSNice, podrías considerar lo siguiente:
Wakaru es el descompilador de Javascript para frontend moderno. Recupera el código original de una fuente empaquetada y transpileada.
Desofuscar obfuscator.io, desminimizar y desempaquetar javascript empaquetado
Desminimizar código Javascript usando ChatGPT Esta herramienta utiliza modelos de lenguaje grandes (como ChatGPT y llama2) y otras herramientas para desminimizar código Javascript. Ten en cuenta que los LLMs no realizan cambios estructurales; solo proporcionan pistas para renombrar variables y funciones. El trabajo pesado lo realiza Babel a nivel de AST para asegurar que el código se mantenga equivalente 1-1.
Usando LLMs para revertir la minimización de nombres de variables de JavaScript
Usa console.log()
;
Encuentra el valor de retorno al final y cámbialo a console.log(<packerReturnVariable>);
para que el js desofuscado se imprima en lugar de ejecutarse.
Luego, pega el js modificado (y aún ofuscado) en https://jsconsole.com/ para ver el js desofuscado registrado en la consola.
Finalmente, pega la salida desofuscada en https://prettier.io/playground/ para embellecerla para su análisis.
Nota: Si aún ves js empaquetado (pero diferente), puede estar empaquetado recursivamente. Repite el proceso.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)