Source code Review / SAST Tools

HackTricks का समर्थन करें

मार्गदर्शन और उपकरणों की सूचियाँ

बहु-भाषा उपकरण

PRs की समीक्षा के लिए एक मुफ्त पैकेज है।

यह एक ओपन सोर्स उपकरण है।

समर्थित भाषाएँ

श्रेणीभाषाएँ

GA

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Experimental

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

त्वरित प्रारंभ

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

आप semgrep VSCode Extension का उपयोग करके VSCode के अंदर निष्कर्ष प्राप्त कर सकते हैं।

एक इंस्टॉल करने योग्य मुफ्त संस्करण है।

त्वरित प्रारंभ

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

एक स्थापित करने योग्य मुफ्त संस्करण है लेकिन लाइसेंस के अनुसार आप केवल ओपन सोर्स परियोजनाओं में मुफ्त codeQL संस्करण का उपयोग कर सकते हैं

Install

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Quick Start - डेटाबेस तैयार करें

आपको जो पहली चीज़ करने की ज़रूरत है वह है डेटाबेस तैयार करना (कोड ट्री बनाना) ताकि बाद में उस पर क्वेरी चलाई जा सके।

  • आप codeql को अनुमति दे सकते हैं कि वह स्वचालित रूप से रेपो की भाषा की पहचान करे और डेटाबेस बनाए

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

यह आमतौर पर एक त्रुटि को ट्रिगर करेगा जो कहता है कि एक से अधिक भाषाएँ निर्दिष्ट की गई थीं (या स्वचालित रूप से पहचान ली गई थीं)। इससे ठीक करने के लिए अगले विकल्पों की जाँच करें!

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
  • यदि आपका रिपॉजिटरी 1 से अधिक भाषाओं का उपयोग कर रहा है, तो आप प्रत्येक भाषा को इंगित करते हुए प्रत्येक भाषा के लिए 1 DB भी बना सकते हैं।

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
  • आप codeql को सभी भाषाओं की पहचान करने और प्रत्येक भाषा के लिए एक DB बनाने की अनुमति भी दे सकते हैं। आपको इसे एक GITHUB_TOKEN देना होगा।

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

त्वरित प्रारंभ - कोड का विश्लेषण करें

अब अंततः कोड का विश्लेषण करने का समय है

याद रखें कि यदि आपने कई भाषाओं का उपयोग किया है, तो प्रत्येक भाषा के लिए एक DB उस पथ में बनाया गया होगा जिसे आपने निर्दिष्ट किया था।

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

त्वरित प्रारंभ - स्क्रिप्टेड

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

आप निष्कर्षों को https://microsoft.github.io/sarif-web-component/ में या VSCode एक्सटेंशन SARIF viewer का उपयोग करके देख सकते हैं।

आप VSCode एक्सटेंशन का उपयोग करके निष्कर्षों को VSCode के अंदर भी प्राप्त कर सकते हैं। आपको अभी भी मैन्युअल रूप से एक डेटाबेस बनाना होगा, लेकिन फिर आप किसी भी फ़ाइल का चयन कर सकते हैं और Right Click -> CodeQL: Run Queries in Selected Files पर क्लिक कर सकते हैं।

एक स्थापनीय मुफ्त संस्करण है।

त्वरित प्रारंभ

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

आप snyk VSCode Extension का उपयोग करके VSCode के अंदर निष्कर्ष प्राप्त कर सकते हैं।

यह ओपन सोर्स है, लेकिन अनरक्षित लगता है।

समर्थित भाषाएँ

Java (Maven और Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, और Javascript (Node.js)।

त्वरित प्रारंभ

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

सार्वजनिक रिपोजिटरी के लिए मुफ्त।

NodeJS

  • yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn install
yarn audit # In lower versions
yarn npm audit # In 2+ versions

npm audit
  • pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm install
pnpm audit
  • nodejsscan: Node.js अनुप्रयोगों के लिए स्थैतिक सुरक्षा कोड स्कैनर (SAST) जो libsast और semgrep द्वारा संचालित है।

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
  • RetireJS: Retire.js का लक्ष्य आपको ज्ञात कमजोरियों वाले JS-लाइब्रेरी संस्करणों के उपयोग का पता लगाने में मदद करना है।

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

  • electronegativity: यह Electron-आधारित अनुप्रयोगों में गलत कॉन्फ़िगरेशन और सुरक्षा एंटी-पैटर्न की पहचान करने के लिए एक उपकरण है।

Python

  • Bandit: Bandit एक उपकरण है जिसे Python कोड में सामान्य सुरक्षा मुद्दों को खोजने के लिए डिज़ाइन किया गया है। ऐसा करने के लिए Bandit प्रत्येक फ़ाइल को संसाधित करता है, इससे एक AST बनाता है, और AST नोड्स के खिलाफ उपयुक्त प्लगइन्स चलाता है। एक बार जब Bandit सभी फ़ाइलों को स्कैन कर लेता है, तो यह एक रिपोर्ट उत्पन्न करता है।

# Install
pip3 install bandit

# Run
bandit -r <path to folder>
  • safety: Safety पायथन निर्भरताओं के लिए ज्ञात सुरक्षा कमजोरियों की जांच करता है और पता की गई कमजोरियों के लिए उचित सुधारों का सुझाव देता है। Safety को डेवलपर मशीनों, CI/CD पाइपलाइनों और उत्पादन प्रणालियों पर चलाया जा सकता है।

# Install
pip install safety
# Run
safety check
  • Pyt: अनुपयुक्त।

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

जावा

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
कार्यकमांड

Execute Jar

java -jar [jar]

Unzip Jar

unzip -d [output directory] [jar]

Create Jar

jar -cmf META-INF/MANIFEST.MF [output jar] *

Base64 SHA256

sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64

Remove Signing

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Delete from Jar

zip -d [jar] [file to remove]

Decompile class

procyon -o . [path to class]

Decompile Jar

procyon -jar [jar] -o [output directory]

Compile class

javac [path to .java file]

जाओ

https://github.com/securego/gosec

PHP

Psalm और PHPStan

Wordpress Plugins

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

JavaScript

Discovery

  1. Burp:

  • Spider और सामग्री खोजें

  • Sitemap > फ़िल्टर

  • Sitemap > डोमेन पर राइट-क्लिक > Engagement tools > स्क्रिप्ट खोजें

  • waybackurls <domain> |grep -i "\.js" |sort -u

Static Analysis

Unminimize/Beautify/Prettify

Deobfuscate/Unpack

Note: पूर्ण रूप से deobfuscate करना संभव नहीं हो सकता।

  1. .map फ़ाइलें खोजें और उपयोग करें:

  • यदि .map फ़ाइलें उजागर हैं, तो उन्हें आसानी से deobfuscate करने के लिए उपयोग किया जा सकता है।

  • सामान्यतः, foo.js.map foo.js को मैप करता है। उन्हें मैन्युअल रूप से खोजें।

  • JS Miner का उपयोग करके उन्हें खोजें।

  • सुनिश्चित करें कि सक्रिय स्कैन किया गया है।

  • 'Tips/Notes' पढ़ें।

  • यदि मिल जाए, तो deobfuscate करने के लिए Maximize का उपयोग करें।

  1. बिना .map फ़ाइलों के, JSnice का प्रयास करें:

  • टिप्स:

  • यदि jsnice.org का उपयोग कर रहे हैं, तो "Nicify JavaScript" बटन के बगल में विकल्प बटन पर क्लिक करें, और "Infer types" को अनचेक करें ताकि कोड में टिप्पणियों के साथ अव्यवस्था कम हो सके।

  • सुनिश्चित करें कि आप स्क्रिप्ट से पहले कोई खाली पंक्तियाँ नहीं छोड़ते, क्योंकि यह deobfuscation प्रक्रिया को प्रभावित कर सकता है और गलत परिणाम दे सकता है।

  1. JSNice के लिए कुछ और आधुनिक विकल्पों पर विचार करें:

  • Javascript decompiler, unpacker और unminify toolkit Wakaru आधुनिक फ्रंटेंड के लिए Javascript decompiler है। यह एक बंडल और ट्रांसपाइल किए गए स्रोत से मूल कोड वापस लाता है।

  • obfuscator.io को deobfuscate करें, unminify करें और बंडल किए गए जावास्क्रिप्ट को अनपैक करें।

  • ChatGPT का उपयोग करके Javascript कोड को un-minify करें। यह उपकरण बड़े भाषा मॉडल (जैसे ChatGPT और llama2) और अन्य उपकरणों का उपयोग करता है ताकि Javascript कोड को un-minify किया जा सके। ध्यान दें कि LLMs कोई संरचनात्मक परिवर्तन नहीं करते - वे केवल वेरिएबल और फ़ंक्शंस के नाम बदलने के लिए संकेत प्रदान करते हैं। भारी उठाने का काम Babel द्वारा AST स्तर पर किया जाता है ताकि कोड 1-1 समकक्ष बना रहे।

  • Javascript वेरिएबल नाम minification को उलटने के लिए LLMs का उपयोग करना

  1. console.log() का उपयोग करें;

  • अंत में लौटने वाले मान को खोजें और इसे console.log(<packerReturnVariable>); में बदलें ताकि deobfuscated js को निष्पादित करने के बजाय प्रिंट किया जाए।

  • फिर, संशोधित (और अभी भी obfuscated) js को https://jsconsole.com/ में पेस्ट करें ताकि deobfuscated js को कंसोल में लॉग किया जा सके।

  • अंत में, विश्लेषण के लिए इसे सुंदर बनाने के लिए deobfuscated आउटपुट को https://prettier.io/playground/ में पेस्ट करें।

  • Note: यदि आप अभी भी पैक (लेकिन अलग) js देख रहे हैं, तो यह पुनरावृत्त रूप से पैक किया जा सकता है। प्रक्रिया को दोहराएं।

References

Tools

Less Used References

Support HackTricks

Last updated