Source code Review / SAST Tools
Guía y Listas de herramientas
Herramientas Multi-Lenguaje
Hay un paquete gratuito para revisar PRs.
Es una herramienta de código abierto.
Lenguajes Soportados
Categoría | Lenguajes |
---|---|
GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
Beta | Kotlin · Rust |
Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · |
Inicio Rápido
También puedes usar la extensión de VSCode de semgrep para obtener los hallazgos dentro de VSCode.
Hay una versión gratuita instalable.
Inicio rápido
CodeQL
Existe una versión gratuita instalable, pero según la licencia solo puedes utilizar la versión gratuita de CodeQL en proyectos de código abierto.
Instalación
Inicio rápido - Preparar la base de datos
Lo primero que debes hacer es preparar la base de datos (crear el árbol de código) para que luego las consultas se ejecuten sobre ella.
Puedes permitir que codeql identifique automáticamente el lenguaje del repositorio y cree la base de datos
Esto suele desencadenar un error que indica que se especificaron más de un idioma (o se detectaron automáticamente). ¡Verifica las siguientes opciones para solucionar esto!
Puedes hacer esto indicando manualmente el repositorio y el idioma (lista de idiomas)
Si tu repositorio está utilizando más de 1 lenguaje, también puedes crear 1 base de datos por lenguaje indicando cada idioma.
También puedes permitir que
codeql
identifique todos los lenguajes por ti y cree una base de datos por lenguaje. Necesitas proporcionarle un GITHUB_TOKEN.
Inicio rápido - Analizar el código
Ahora es finalmente el momento de analizar el código
Recuerda que si utilizaste varios lenguajes, se habría creado una BD por lenguaje en la ruta que especificaste.
Inicio rápido - Scripted
Puedes visualizar los hallazgos en https://microsoft.github.io/sarif-web-component/ o utilizando la extensión de VSCode SARIF viewer.
También puedes utilizar la extensión de VSCode para obtener los hallazgos dentro de VSCode. Aún necesitarás crear una base de datos manualmente, pero luego puedes seleccionar cualquier archivo y hacer clic en Click Derecho
-> CodeQL: Run Queries in Selected Files
Hay una versión gratuita instalable.
Inicio Rápido
También puedes usar la extensión de Snyk para VSCode para obtener resultados dentro de VSCode.
Es de código abierto, pero parece no estar mantenido.
Idiomas compatibles
Java (Maven y Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# y Javascript (Node.js).
Inicio rápido
Gratis para repositorios públicos.
NodeJS
yarn
pnpm
nodejsscan: Escáner estático de código de seguridad (SAST) para aplicaciones Node.js impulsado por libsast y semgrep.
RetireJS: El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.
Electron
electronegativity: Es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.
Python
Bandit: Bandit es una herramienta diseñada para encontrar problemas de seguridad comunes en código Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta complementos apropiados contra los nodos AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.
safety: Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las correcciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrolladores, en tuberías CI/CD y en sistemas de producción.
Pyt: Sin mantenimiento.
.NET
RUST
Java
FindBugs
FindBugs es una herramienta de análisis estático de código para encontrar posibles errores en el código Java.
PMD
PMD es otra herramienta de análisis estático de código que busca posibles problemas en el código Java, como código muerto, variables no utilizadas y más.
Checkstyle
Checkstyle es una herramienta que ayuda a garantizar que el código Java cumpla con un conjunto de convenciones de codificación predefinidas.
Tarea | Comando |
---|---|
Ejecutar Jar | java -jar [jar] |
Descomprimir Jar | unzip -d [directorio de salida] [jar] |
Crear Jar | jar -cmf META-INF/MANIFEST.MF [jar de salida] * |
Base64 SHA256 | sha256sum [archivo] | cut -d' ' -f1 | xxd -r -p | base64 |
Eliminar Firma | rm META-INF/.SF META-INF/.RSA META-INF/*.DSA |
Eliminar del Jar | zip -d [jar] [archivo a eliminar] |
Descompilar clase | procyon -o . [ruta de la clase] |
Descompilar Jar | procyon -jar [jar] -o [directorio de salida] |
Compilar clase | javac [ruta al archivo .java] |
Go
PHP
Plugins de Wordpress
https://www.pluginvulnerabilities.com/plugin-security-checker/
Solidity
JavaScript
Descubrimiento
Burp:
Spider y descubrir contenido
Sitemap > filtro
Sitemap > clic derecho en el dominio > Herramientas de compromiso > Encontrar scripts
waybackurls <dominio> |grep -i "\.js" |sort -u
Análisis Estático
Desminimizar/Embellecer/Embellecer
Consulte algunas de las herramientas mencionadas en 'Desofuscar/Desempaquetar' a continuación también.
Desofuscar/Desempaquetar
Nota: Puede que no sea posible desofuscar completamente.
Encontrar y usar archivos .map:
Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
Comúnmente, foo.js.map mapea a foo.js. Búscalos manualmente.
Usa JS Miner para buscarlos.
Asegúrate de realizar un escaneo activo.
Lee 'Consejos/Notas'
Si se encuentran, usa Maximize para desofuscar.
Sin archivos .map, prueba JSnice:
Referencias: http://jsnice.org/ y https://www.npmjs.com/package/jsnice
Consejos:
Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript" y deselecciona "Infer types" para reducir el desorden en el código con comentarios.
Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.
Para algunas alternativas más modernas a JSNice, es posible que desees consultar lo siguiente:
Descompilador, desempaquetador y kit de desminificación de JavaScript
Wakaru es el descompilador de JavaScript para frontend moderno. Devuelve el código original de una fuente empaquetada y transpilada.
Desofuscar obfuscator.io, desminificar y desempaquetar JavaScript empaquetado
Desminificar código JavaScript utilizando ChatGPT
Esta herramienta utiliza modelos de lenguaje grandes (como ChatGPT y llama2) y otras herramientas para desminificar código JavaScript. Ten en cuenta que los LLM no realizan cambios estructurales, solo proporcionan pistas para renombrar variables y funciones. El trabajo pesado lo realiza Babel a nivel de AST para garantizar que el código se mantenga equivalente 1 a 1.
Usar LLM para revertir la minificación de nombres de variables de JavaScript
Usa
console.log()
;
Encuentra el valor de retorno al final y cámbialo a
console.log(<variableDeRetornoDelEmpaquetador>);
para que se imprima el JavaScript desofuscado en lugar de ejecutarse.Luego, pega el JavaScript modificado (y aún ofuscado) en https://jsconsole.com/ para ver el JavaScript desofuscado registrado en la consola.
Finalmente, pega la salida desofuscada en https://prettier.io/playground/ para embellecerlo para el análisis.
Nota: Si sigues viendo JavaScript empaquetado (pero diferente), puede estar empaquetado de forma recursiva. Repite el proceso.
Referencias
Herramientas
Referencias Menos Utilizadas
Última actualización