Source code Review / SAST Tools

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podrška HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Uputstva i liste alata

Alati za više jezika

Naxus - AI-Gents

Postoji besplatan paket za pregled PR-ova.

Semgrep

To je alat otvorenog koda.

Podržani jezici

Kategorija	Jezici
GA	C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta	Kotlin · Rust
Eksperimentalni	Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Kategorija

Jezici

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Eksperimentalni

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Brzi početak

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Možete takođe koristiti semgrep VSCode Extension da dobijete nalaze unutar VSCode-a.

SonarQube

Postoji instalabilna besplatna verzija.

Brzi početak

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Postoji besplatna verzija koja se može instalirati, ali prema licenci možete koristiti besplatnu verziju codeQL samo u Open Source projektima.

Instaliraj

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Quick Start - Pripremite bazu podataka

Prva stvar koju treba da uradite je da pripremite bazu podataka (napravite stablo koda) kako bi se kasnije upiti izvršavali nad njom.

Možete omogućiti codeql-u da automatski identifikuje jezik repozitorijuma i kreira bazu podataka

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Ovo obično izaziva grešku koja kaže da je navedeno više od jednog jezika (ili automatski otkriveno). Proverite sledeće opcije da biste to ispravili!

Možete to učiniti ručno označavajući repo i jezik (lista jezika)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Ako vaš repozitorij koristi više od 1 jezika, možete takođe kreirati 1 DB po jeziku označavajući svaki jezik.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

Takođe možete omogućiti codeql da identifikuje sve jezike umesto vas i kreira bazu podataka po jeziku. Treba da mu date GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Brzi početak - Analizirajte kod

Sada je konačno vreme da analizirate kod

Zapamtite da ako ste koristili nekoliko jezika, baza podataka po jeziku će biti kreirana u putanji koju ste naveli.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Brzi početak - Skriptovano

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Možete vizualizovati nalaze na https://microsoft.github.io/sarif-web-component/ ili koristeći VSCode ekstenziju SARIF viewer.

Takođe možete koristiti VSCode ekstenziju da dobijete nalaze unutar VSCode-a. I dalje ćete morati ručno da kreirate bazu podataka, ali tada možete izabrati bilo koje datoteke i kliknuti na Desni Klik -> CodeQL: Run Queries in Selected Files

Snyk

Postoji instalabilna besplatna verzija.

Brzi Početak

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Možete takođe koristiti snyk VSCode Extension da dobijete nalaze unutar VSCode.

Insider

To je Open Source, ali izgleda neodržavano.

Podržani jezici

Java (Maven i Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, i Javascript (Node.js).

Brzi početak

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Besplatno za javne repozitorijume.

NodeJS

yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn install
yarn audit # In lower versions
yarn npm audit # In 2+ versions

npm audit

pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm install
pnpm audit

nodejsscan: Statistički skener bezbednosti koda (SAST) za Node.js aplikacije pokretan libsast i semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

RetireJS: Cilj Retire.js je da vam pomogne da otkrijete korišćenje verzija JS biblioteka sa poznatim ranjivostima.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

electronegativity: To je alat za identifikaciju loših konfiguracija i sigurnosnih anti-šablona u aplikacijama zasnovanim na Electron-u.

Python

Bandit: Bandit je alat dizajniran za pronalaženje uobičajenih sigurnosnih problema u Python kodu. Da bi to uradio, Bandit obrađuje svaku datoteku, gradi AST iz nje i pokreće odgovarajuće dodatke protiv AST čvorova. Kada Bandit završi sa skeniranjem svih datoteka, generiše izveštaj.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

safety: Safety proverava Python zavisnosti na poznate sigurnosne ranjivosti i predlaže odgovarajuće mere za otklanjanje otkrivenih ranjivosti. Safety se može pokrenuti na razvojnim mašinama, u CI/CD procesima i na produkcionim sistemima.

# Install
pip install safety
# Run
safety check

~~Pyt~~: Neodržavan.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

Task	Command
Execute Jar	java -jar [jar]
Unzip Jar	unzip -d [output directory] [jar]
Create Jar	jar -cmf META-INF/MANIFEST.MF [output jar] *
Base64 SHA256	sha256sum [file] \| cut -d' ' -f1 \| xxd -r -p \| base64
Remove Signing	rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
Delete from Jar	zip -d [jar] [file to remove]
Decompile class	procyon -o . [path to class]
Decompile Jar	procyon -jar [jar] -o [output directory]
Compile class	javac [path to .java file]

Task

Command

Execute Jar

java -jar [jar]

Unzip Jar

unzip -d [output directory] [jar]

Create Jar

jar -cmf META-INF/MANIFEST.MF [output jar] *

Base64 SHA256

sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64

Remove Signing

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Delete from Jar

zip -d [jar] [file to remove]

Decompile class

procyon -o . [path to class]

Decompile Jar

procyon -jar [jar] -o [output directory]

Compile class

javac [path to .java file]

Idi

https://github.com/securego/gosec

PHP

Psalm i PHPStan.

Wordpress Plugins

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

https://www.npmjs.com/package/solium

JavaScript

Discovery

Burp:

Spider i otkrijte sadržaj
Sitemap > filter
Sitemap > desni klik na domen > Alati za angažovanje > Pronađi skripte

WaybackURLs:

waybackurls <domain> |grep -i "\.js" |sort -u

Static Analysis

Unminimize/Beautify/Prettify

https://prettier.io/playground/
https://beautifier.io/
Pogledajte neke od alata pomenutih u 'Deobfuscate/Unpack' ispod.

Deobfuscate/Unpack

Napomena: Možda neće biti moguće potpuno deobfuskovati.

Pronađite i koristite .map datoteke:

Ako su .map datoteke izložene, mogu se koristiti za lako deobfuskovanje.
Obično, foo.js.map se mapira na foo.js. Ručno ih potražite.
Koristite JS Miner da ih potražite.
Osigurajte da se aktivno skeniranje sprovodi.
Pročitajte 'Tips/Notes'
Ako se pronađu, koristite Maximize za deobfuskovanje.

Bez .map datoteka, pokušajte sa JSnice:

Reference: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
Saveti:
Ako koristite jsnice.org, kliknite na dugme opcija pored dugmeta "Nicify JavaScript" i isključite "Infer types" da smanjite nered u kodu sa komentarima.
Osigurajte da ne ostavljate prazne linije pre skripte, jer to može uticati na proces deobfuskovanja i dati netačne rezultate.

Za neke modernije alternative JSNice, možda biste želeli da pogledate sledeće:

https://github.com/pionxzh/wakaru
Javascript dekompajler, raspakivač i alat za unminify Wakaru je Javascript dekompajler za moderni frontend. Vraća originalni kod iz pakovanog i transpiled izvora.
https://github.com/j4k0xb/webcrack
Deobfuskacija obfuscator.io, unminify i raspakivanje pakovanog javascripta
https://github.com/jehna/humanify
Un-minify Javascript kod koristeći ChatGPT Ovaj alat koristi velike jezičke modele (poput ChatGPT i llama2) i druge alate za un-minify Javascript kod. Imajte na umu da LLM-ovi ne vrše nikakve strukturne promene – samo daju savete za preimenovanje varijabli i funkcija. Teži deo posla obavlja Babel na AST nivou kako bi se osiguralo da kod ostane 1-1 ekvivalentan.
https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html
Korišćenje LLM-ova za obrnuto minifikovanje imena varijabli u JavaScript-u

Koristite console.log();

Pronađite povratnu vrednost na kraju i promenite je u console.log(<packerReturnVariable>); tako da se deobfuskovani js odštampa umesto da se izvrši.
Zatim, nalepite modifikovani (i dalje obfuskovani) js u https://jsconsole.com/ da vidite deobfuskovani js odštampan u konzoli.
Na kraju, nalepite deobfuskovani izlaz u https://prettier.io/playground/ da ga ulepšate za analizu.
Napomena: Ako i dalje vidite pakovani (ali drugačiji) js, možda je rekurzivno pakovan. Ponovite proces.

References

Tools

https://portswigger.net/burp/documentation/desktop/tools/dom-invader

Less Used References

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousSpecial HTTP headers NextSpring Actuators

Last updated 1 month ago