Source code Review / SAST Tools

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

Linee guida e elenchi di strumenti

Strumenti Multi-Lingua

Naxus - AI-Gents

C'è un pacchetto gratuito per rivedere le PR.

Semgrep

È uno strumento Open Source.

Lingue Supportate

Categoria	Lingue
GA	C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta	Kotlin · Rust
Sperimentale	Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Categoria

Lingue

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Sperimentale

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Inizio Veloce

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Puoi anche utilizzare l'estensione semgrep per VSCode per ottenere i risultati all'interno di VSCode.

SonarQube

Esiste una versione gratuita installabile.

Inizio rapido

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Esiste una versione gratuita installabile ma secondo la licenza puoi utilizzare solo la versione gratuita di codeQL in progetti Open Source.

Installare

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Inizio rapido - Prepara il database

La prima cosa che devi fare è preparare il database (creare l'albero del codice) in modo che in seguito le query vengano eseguite su di esso.

Puoi consentire a codeql di identificare automaticamente il linguaggio del repo e creare il database

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Questo di solito attiverà un errore che dice che è stata specificata (o rilevata automaticamente) più di una lingua. Controlla le opzioni successive per risolvere questo problema!

Puoi farlo indicando manualmente il repo e la lingua (elenco delle lingue)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Se il tuo repo utilizza più di 1 lingua, puoi anche creare 1 DB per lingua indicando ciascuna lingua.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

Puoi anche consentire a codeql di identificare tutti i linguaggi per te e creare un DB per linguaggio. Devi fornirgli un GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Inizio rapido - Analizza il codice

Ora è finalmente il momento di analizzare il codice

Ricorda che se hai utilizzato più linguaggi, un DB per linguaggio sarebbe stato creato nel percorso che hai specificato.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Inizio rapido - Scriptato

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Puoi visualizzare i risultati in https://microsoft.github.io/sarif-web-component/ o utilizzando l'estensione di VSCode SARIF viewer.

Puoi anche utilizzare l'estensione di VSCode per ottenere i risultati all'interno di VSCode. Dovrai comunque creare un database manualmente, ma poi puoi selezionare qualsiasi file e cliccare su Right Click -> CodeQL: Run Queries in Selected Files

Snyk

C'è una versione gratuita installabile.

Quick Start

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Puoi anche utilizzare l'estensione snyk per VSCode per ottenere risultati all'interno di VSCode.

Insider

È Open Source, ma sembra non mantenuto.

Linguaggi Supportati

Java (Maven e Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# e Javascript (Node.js).

Inizio Veloce

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Gratuito per repo pubblici.

NodeJS

yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn install
yarn audit # In lower versions
yarn npm audit # In 2+ versions

npm audit

pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm install
pnpm audit

nodejsscan: Scanner di sicurezza del codice statico (SAST) per applicazioni Node.js alimentato da libsast e semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

RetireJS: L'obiettivo di Retire.js è aiutarti a rilevare l'uso di versioni di librerie JS con vulnerabilità note.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

electronegativity: È uno strumento per identificare misconfigurazioni e anti-pattern di sicurezza nelle applicazioni basate su Electron.

Python

Bandit: Bandit è uno strumento progettato per trovare problemi di sicurezza comuni nel codice Python. Per fare ciò, Bandit elabora ogni file, costruisce un AST da esso e esegue plugin appropriati contro i nodi dell'AST. Una volta che Bandit ha terminato di esaminare tutti i file, genera un rapporto.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

safety: Safety controlla le dipendenze Python per vulnerabilità di sicurezza note e suggerisce le opportune soluzioni per le vulnerabilità rilevate. Safety può essere eseguito su macchine di sviluppo, in pipeline CI/CD e su sistemi di produzione.

# Install
pip install safety
# Run
safety check

~~Pyt~~: Non mantenuto.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

Task	Command
Esegui Jar	java -jar [jar]
Decomprimi Jar	unzip -d [output directory] [jar]
Crea Jar	jar -cmf META-INF/MANIFEST.MF [output jar] *
Base64 SHA256	sha256sum [file] \| cut -d' ' -f1 \| xxd -r -p \| base64
Rimuovi Firma	rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
Elimina da Jar	zip -d [jar] [file to remove]
Decompila classe	procyon -o . [path to class]
Decompila Jar	procyon -jar [jar] -o [output directory]
Compila classe	javac [path to .java file]

Task

Command

Esegui Jar

java -jar [jar]

Decomprimi Jar

unzip -d [output directory] [jar]

Crea Jar

jar -cmf META-INF/MANIFEST.MF [output jar] *

Base64 SHA256

sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64

Rimuovi Firma

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Elimina da Jar

zip -d [jar] [file to remove]

Decompila classe

procyon -o . [path to class]

Decompila Jar

procyon -jar [jar] -o [output directory]

Compila classe

javac [path to .java file]

Vai

https://github.com/securego/gosec

PHP

Psalm e PHPStan.

Wordpress Plugins

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

https://www.npmjs.com/package/solium

JavaScript

Discovery

Burp:

Spider e scopri contenuti
Sitemap > filtro
Sitemap > clic destro sul dominio > Strumenti di coinvolgimento > Trova script

WaybackURLs:

waybackurls <domain> |grep -i "\.js" |sort -u

Static Analysis

Unminimize/Beautify/Prettify

https://prettier.io/playground/
https://beautifier.io/
Vedi alcuni degli strumenti menzionati in 'Deobfuscate/Unpack' qui sotto.

Deobfuscate/Unpack

Nota: Potrebbe non essere possibile deobfuscate completamente.

Trova e usa i file .map:

Se i file .map sono esposti, possono essere utilizzati per deobfuscate facilmente.
Comunemente, foo.js.map mappa a foo.js. Cerca manualmente.
Usa JS Miner per cercarli.
Assicurati che venga condotta una scansione attiva.
Leggi 'Tips/Notes'
Se trovati, usa Maximize per deobfuscate.

Senza file .map, prova JSnice:

Riferimenti: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
Suggerimenti:
Se usi jsnice.org, clicca sul pulsante delle opzioni accanto al pulsante "Nicify JavaScript" e deseleziona "Infer types" per ridurre il disordine nel codice con commenti.
Assicurati di non lasciare righe vuote prima dello script, poiché potrebbe influenzare il processo di deobfuscation e dare risultati imprecisi.

Per alcune alternative più moderne a JSNice, potresti voler guardare i seguenti:

https://github.com/pionxzh/wakaru
Wakaru è il decompilatore Javascript per il frontend moderno. Riporta il codice originale da una sorgente impacchettata e transpiled.
https://github.com/j4k0xb/webcrack
Deobfuscate obfuscator.io, unminify e unpack javascript impacchettato
https://github.com/jehna/humanify
Un-minify il codice Javascript usando ChatGPT Questo strumento utilizza modelli di linguaggio di grandi dimensioni (come ChatGPT & llama2) e altri strumenti per un-minify il codice Javascript. Nota che i LLM non eseguono alcuna modifica strutturale – forniscono solo suggerimenti per rinominare variabili e funzioni. Il lavoro pesante è svolto da Babel a livello di AST per garantire che il codice rimanga equivalente 1-1.
https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html
Utilizzando i LLM per invertire la minificazione dei nomi delle variabili JavaScript

Usa console.log();

Trova il valore di ritorno alla fine e cambialo in console.log(<packerReturnVariable>); in modo che il js deobfuscato venga stampato invece di essere eseguito.
Poi, incolla il js modificato (e ancora obfuscato) in https://jsconsole.com/ per vedere il js deobfuscato registrato nella console.
Infine, incolla l'output deobfuscato in https://prettier.io/playground/ per abbellirlo per l'analisi.
Nota: Se vedi ancora js impacchettato (ma diverso), potrebbe essere impacchettato ricorsivamente. Ripeti il processo.

References

Tools

https://portswigger.net/burp/documentation/desktop/tools/dom-invader

Less Used References

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.

PreviousSpecial HTTP headers NextSpring Actuators

Last updated 1 month ago