Anleitung und Listen von Tools

• https://owasp.org/www-community/Source_Code_Analysis_Tools

• https://github.com/analysis-tools-dev/static-analysis

Mehrsprachige Tools

Naxus - AI-Gents

Es gibt ein kostenloses Paket zur Überprüfung von PRs.

Semgrep

Es ist ein Open-Source-Tool.

Unterstützte Sprachen

Schnellstart

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Sie können auch die semgrep VSCode-Erweiterung verwenden, um die Ergebnisse innerhalb von VSCode zu erhalten.

SonarQube

Es gibt eine installierbare kostenlose Version.

Schnellstart

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Es gibt eine installierbare kostenlose Version, aber gemäß der Lizenz dürfen Sie die kostenlose CodeQL-Version nur in Open-Source-Projekten verwenden.

Installation

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Schnellstart - Datenbank vorbereiten

• Sie können CodeQL erlauben, die Sprache des Repository automatisch zu identifizieren und die Datenbank zu erstellen

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

• Sie können dies manuell tun, indem Sie das Repository und die Sprache angeben (Liste der Sprachen)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

• Wenn Ihr Repository mehr als 1 Sprache verwendet, können Sie auch 1 Datenbank pro Sprache erstellen, wobei jede Sprache angegeben wird.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

• Sie können codeql auch erlauben, alle Sprachen zu identifizieren und eine Datenbank pro Sprache zu erstellen. Sie müssen ihm einen GITHUB_TOKEN geben.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Schnellstart - Code analysieren

Denken Sie daran, dass wenn Sie mehrere Sprachen verwendet haben, eine Datenbank pro Sprache im angegebenen Pfad erstellt wurde.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Schnellstart - Skriptgesteuert

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Sie können die Ergebnisse unter https://microsoft.github.io/sarif-web-component/ visualisieren oder die VSCode-Erweiterung SARIF viewer verwenden.

Sie können auch die VSCode-Erweiterung verwenden, um die Ergebnisse in VSCode zu erhalten. Sie müssen immer noch manuell eine Datenbank erstellen, können dann jedoch beliebige Dateien auswählen und auf Rechtsklick -> CodeQL: Abfragen in ausgewählten Dateien ausführen klicken.

Snyk

Es gibt eine kostenlose installierbare Version.

Schnellstart

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Du kannst auch die Snyk VSCode-Erweiterung verwenden, um Ergebnisse innerhalb von VSCode zu erhalten.

Insider

Es ist Open Source, sieht aber nicht gewartet aus.

Unterstützte Sprachen

Java (Maven und Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# und Javascript (Node.js).

Schnellstart

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Kostenlos für öffentliche Repositories.

NodeJS

• yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit

• pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit

• nodejsscan: Statischer Sicherheitscode-Scanner (SAST) für Node.js-Anwendungen, unterstützt durch libsast und semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

• RetireJS: Das Ziel von Retire.js ist es, Ihnen dabei zu helfen, die Verwendung von JS-Bibliotheksversionen mit bekannten Sicherheitslücken zu erkennen.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

• electronegativity: Ein Tool zur Identifizierung von Fehlkonfigurationen und Sicherheits-Antimustern in auf Electron basierenden Anwendungen.

Python

• Bandit: Bandit ist ein Tool, das dazu entwickelt wurde, häufige Sicherheitsprobleme in Python-Code zu finden. Dazu verarbeitet Bandit jede Datei, erstellt einen AST daraus und führt geeignete Plugins gegen die AST-Knoten aus. Sobald Bandit alle Dateien gescannt hat, generiert es einen Bericht.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

• safety: Safety überprüft Python-Abhängigkeiten auf bekannte Sicherheitslücken und schlägt geeignete Maßnahmen zur Behebung der erkannten Schwachstellen vor. Safety kann auf Entwicklermaschinen, in CI/CD-Pipelines und auf Produktionssystemen ausgeführt werden.

# Install
pip install safety
# Run
safety check

• Pyt: Nicht gewartet.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

ROST

Rust ist eine moderne, sichere und performante Systemsprache, die von Mozilla entwickelt wurde. Sie wird oft für die Entwicklung von sicheren und zuverlässigen Systemsoftware verwendet. Rust verhindert Speicherfehler und bietet gleichzeitig Kontrolle über die Ressourcen.

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

Java ist eine der am häufigsten verwendeten Programmiersprachen für die Entwicklung von Webanwendungen. Es ist wichtig, Java-Code auf Sicherheitslücken zu überprüfen, um potenzielle Schwachstellen zu identifizieren. Hier sind einige Tools, die für die Code-Überprüfung in Java verwendet werden können:

FindBugs

FindBugs ist ein statisches Analysewerkzeug, das entwickelt wurde, um potenzielle Fehler im Java-Code zu identifizieren. Es kann verwendet werden, um häufige Sicherheitslücken wie unsichere Datenvalidierung, unsichere Speicherzuweisung und andere potenzielle Probleme zu erkennen.

PMD

PMD ist ein weiteres statisches Analysewerkzeug, das für Java-Code verwendet werden kann. Es kann dabei helfen, Code-Stilprobleme, Leistungsprobleme und potenzielle Fehler im Code zu identifizieren.

Checkstyle

Checkstyle ist ein Werkzeug, das verwendet wird, um sicherzustellen, dass der Java-Code einem bestimmten Stil entspricht. Es kann dabei helfen, konsistente Codeformatierung und -konventionen durchzusetzen.

SonarQube

SonarQube ist eine Plattform, die verwendet werden kann, um den Java-Code kontinuierlich auf Qualität und Sicherheit zu überprüfen. Es bietet detaillierte Berichte über Codequalität, Sicherheitslücken und Leistungsprobleme.

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

Los

https://github.com/securego/gosec

PHP

Psalm und PHPStan.

Wordpress Plugins

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

• https://www.npmjs.com/package/solium

JavaScript

Discovery

1. Burp:

• Spider und Inhalte entdecken

• Sitemap > filtern

• Sitemap > Rechtsklick auf Domain > Engagement-Tools > Skripte finden

2. WaybackURLs:

• waybackurls <domain> |grep -i "\.js" |sort -u

Statische Analyse

Unminimieren/Verschönern/Verschönern

• https://prettier.io/playground/

• https://beautifier.io/

• Siehe auch einige der Tools, die unten unter 'Deobfuscate/Unpack' erwähnt werden.

Deobfuscate/Unpack

Hinweis: Es ist möglicherweise nicht möglich, vollständig zu deobfuskieren.

1. Finde und verwende .map-Dateien:

• Wenn die .map-Dateien freigelegt sind, können sie leicht deobfuskiert werden.

• Üblicherweise entspricht foo.js.map zu foo.js. Suche manuell danach.

• Verwende JS Miner, um danach zu suchen.

• Stelle sicher, dass ein aktiver Scan durchgeführt wird.

• Lies 'Tipps/Hinweise'

• Wenn gefunden, verwende Maximize zum Deobfuskieren.

2. Ohne .map-Dateien, versuche JSnice:

• Referenzen: http://jsnice.org/ & https://www.npmjs.com/package/jsnice

• Tipps:

• Wenn du jsnice.org verwendest, klicke auf die Optionen neben dem "Nicify JavaScript"-Button und deaktiviere "Infer types", um den Code nicht mit Kommentaren zu überladen.

• Stelle sicher, dass keine leeren Zeilen vor dem Skript stehen, da dies den Deobfuskationsprozess beeinträchtigen und zu ungenauen Ergebnissen führen kann.

4. Für einige modernere Alternativen zu JSNice, könntest du folgendes betrachten:

• https://github.com/pionxzh/wakaru

• Javascript-Decompiler, Unpacker und Unminify-Toolkit

Wakaru ist der Javascript-Decompiler für moderne Frontends. Er bringt den Originalcode aus einer gebündelten und transpilierten Quelle zurück.

• https://github.com/j4k0xb/webcrack

• Deobfuscate obfuscator.io, unminify und unpack gebündeltes Javascript

• https://github.com/jehna/humanify

• Un-minify Javascript-Code mit ChatGPT

Dieses Tool verwendet große Sprachmodelle (wie ChatGPT & llama2) und andere Tools, um Javascript-Code zu un-minifizieren. Beachte, dass LLMs keine strukturellen Änderungen vornehmen - sie geben nur Hinweise zur Umbenennung von Variablen und Funktionen. Die eigentliche Arbeit wird von Babel auf AST-Ebene erledigt, um sicherzustellen, dass der Code 1:1 äquivalent bleibt.

• https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html

• Verwendung von LLMs zur Umkehrung der Minimierung von JavaScript-Variablennamen

3. Verwende console.log();

• Finde den Rückgabewert am Ende und ändere ihn in console.log(<packerReturnVariable>);, damit das deobfuskierte js ausgegeben wird, anstatt es auszuführen.

• Füge dann das modifizierte (und immer noch obfuskierte) js in https://jsconsole.com/ ein, um das deobfuskierte js im Konsolenprotokoll zu sehen.

• Füge schließlich die deobfuskierte Ausgabe in https://prettier.io/playground/ ein, um sie für die Analyse zu verschönern.

• Hinweis: Wenn du immer noch verpacktes (aber unterschiedliches) js siehst, könnte es rekursiv verpackt sein. Wiederhole den Prozess.

Referenzen

• YouTube: DAST - Javascript Dynamic Analysis

• https://blog.nvisium.com/angular-for-pentesters-part-1

• https://blog.nvisium.com/angular-for-pentesters-part-2

• devalias's GitHub Gists:

• Deobfuscating / Unminifying Obfuscated Web App Code

• Reverse Engineering Webpack Apps

• etc

Tools

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader

Weniger verwendete Referenzen

• https://cyberchef.org/

• https://olajs.com/javascript-prettifier

• https://jshint.com/

• https://github.com/jshint/jshint/