Source code Review / SAST Tools

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
Obtén merchandising oficial de PEASS & HackTricks
Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Guía y Listas de herramientas

Herramientas Multi-Lenguaje

Naxus - AI-Gents

Hay un paquete gratuito para revisar PRs.

Semgrep

Es una herramienta de código abierto.

Lenguajes Soportados

Categoría	Lenguajes
GA	C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta	Kotlin · Rust
Experimental	Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Categoría

Lenguajes

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Experimental

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Inicio Rápido

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

También puedes usar la extensión de VSCode de semgrep para obtener los hallazgos dentro de VSCode.

SonarQube

Hay una versión gratuita instalable.

Inicio rápido

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Existe una versión gratuita instalable, pero según la licencia solo puedes utilizar la versión gratuita de CodeQL en proyectos de código abierto.

Instalación

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Inicio rápido - Preparar la base de datos

Lo primero que debes hacer es preparar la base de datos (crear el árbol de código) para que luego las consultas se ejecuten sobre ella.

Puedes permitir que codeql identifique automáticamente el lenguaje del repositorio y cree la base de datos

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Esto suele desencadenar un error que indica que se especificaron más de un idioma (o se detectaron automáticamente). ¡Verifica las siguientes opciones para solucionar esto!

Puedes hacer esto indicando manualmente el repositorio y el idioma (lista de idiomas)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Si tu repositorio está utilizando más de 1 lenguaje, también puedes crear 1 base de datos por lenguaje indicando cada idioma.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

También puedes permitir que codeql identifique todos los lenguajes por ti y cree una base de datos por lenguaje. Necesitas proporcionarle un GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Inicio rápido - Analizar el código

Ahora es finalmente el momento de analizar el código

Recuerda que si utilizaste varios lenguajes, se habría creado una BD por lenguaje en la ruta que especificaste.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Inicio rápido - Scripted

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Puedes visualizar los hallazgos en https://microsoft.github.io/sarif-web-component/ o utilizando la extensión de VSCode SARIF viewer.

También puedes utilizar la extensión de VSCode para obtener los hallazgos dentro de VSCode. Aún necesitarás crear una base de datos manualmente, pero luego puedes seleccionar cualquier archivo y hacer clic en Click Derecho -> CodeQL: Run Queries in Selected Files

Snyk

Hay una versión gratuita instalable.

Inicio Rápido

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

También puedes usar la extensión de Snyk para VSCode para obtener resultados dentro de VSCode.

Insider

Es de código abierto, pero parece no estar mantenido.

Idiomas compatibles

Java (Maven y Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# y Javascript (Node.js).

Inicio rápido

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Gratis para repositorios públicos.

NodeJS

yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit

pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit

nodejsscan: Escáner estático de código de seguridad (SAST) para aplicaciones Node.js impulsado por libsast y semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

RetireJS: El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

electronegativity: Es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.

Python

Bandit: Bandit es una herramienta diseñada para encontrar problemas de seguridad comunes en código Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta complementos apropiados contra los nodos AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

safety: Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las correcciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrolladores, en tuberías CI/CD y en sistemas de producción.

# Install
pip install safety
# Run
safety check

~~Pyt~~: Sin mantenimiento.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

FindBugs

FindBugs es una herramienta de análisis estático de código para encontrar posibles errores en el código Java.

PMD

PMD es otra herramienta de análisis estático de código que busca posibles problemas en el código Java, como código muerto, variables no utilizadas y más.

Checkstyle

Checkstyle es una herramienta que ayuda a garantizar que el código Java cumpla con un conjunto de convenciones de codificación predefinidas.

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

Tarea	Comando
Ejecutar Jar	java -jar [jar]
Descomprimir Jar	unzip -d [directorio de salida] [jar]
Crear Jar	jar -cmf META-INF/MANIFEST.MF [jar de salida] *
Base64 SHA256	sha256sum [archivo] \| cut -d' ' -f1 \| xxd -r -p \| base64
Eliminar Firma	rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
Eliminar del Jar	zip -d [jar] [archivo a eliminar]
Descompilar clase	procyon -o . [ruta de la clase]
Descompilar Jar	procyon -jar [jar] -o [directorio de salida]
Compilar clase	javac [ruta al archivo .java]

Tarea

Comando

Ejecutar Jar

java -jar [jar]

Descomprimir Jar

unzip -d [directorio de salida] [jar]

Crear Jar

jar -cmf META-INF/MANIFEST.MF [jar de salida] *

Base64 SHA256

sha256sum [archivo] | cut -d' ' -f1 | xxd -r -p | base64

Eliminar Firma

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Eliminar del Jar

zip -d [jar] [archivo a eliminar]

Descompilar clase

procyon -o . [ruta de la clase]

Descompilar Jar

procyon -jar [jar] -o [directorio de salida]

Compilar clase

javac [ruta al archivo .java]

Go

https://github.com/securego/gosec

PHP

Psalm y PHPStan.

Plugins de Wordpress

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

https://www.npmjs.com/package/solium

JavaScript

Descubrimiento

Burp:

Spider y descubrir contenido
Sitemap > filtro
Sitemap > clic derecho en el dominio > Herramientas de compromiso > Encontrar scripts

WaybackURLs:

waybackurls <dominio> |grep -i "\.js" |sort -u

Análisis Estático

Desminimizar/Embellecer/Embellecer

https://prettier.io/playground/
https://beautifier.io/
Consulte algunas de las herramientas mencionadas en 'Desofuscar/Desempaquetar' a continuación también.

Desofuscar/Desempaquetar

Nota: Puede que no sea posible desofuscar completamente.

Encontrar y usar archivos .map:

Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
Comúnmente, foo.js.map mapea a foo.js. Búscalos manualmente.
Usa JS Miner para buscarlos.
Asegúrate de realizar un escaneo activo.
Lee 'Consejos/Notas'
Si se encuentran, usa Maximize para desofuscar.

Sin archivos .map, prueba JSnice:

Referencias: http://jsnice.org/ y https://www.npmjs.com/package/jsnice
Consejos:
Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript" y deselecciona "Infer types" para reducir el desorden en el código con comentarios.
Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.

Para algunas alternativas más modernas a JSNice, es posible que desees consultar lo siguiente:

https://github.com/pionxzh/wakaru
Descompilador, desempaquetador y kit de desminificación de JavaScript

Wakaru es el descompilador de JavaScript para frontend moderno. Devuelve el código original de una fuente empaquetada y transpilada.

https://github.com/j4k0xb/webcrack
Desofuscar obfuscator.io, desminificar y desempaquetar JavaScript empaquetado
https://github.com/jehna/humanify
Desminificar código JavaScript utilizando ChatGPT

Esta herramienta utiliza modelos de lenguaje grandes (como ChatGPT y llama2) y otras herramientas para desminificar código JavaScript. Ten en cuenta que los LLM no realizan cambios estructurales, solo proporcionan pistas para renombrar variables y funciones. El trabajo pesado lo realiza Babel a nivel de AST para garantizar que el código se mantenga equivalente 1 a 1.

https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html
Usar LLM para revertir la minificación de nombres de variables de JavaScript

Usa console.log();

Encuentra el valor de retorno al final y cámbialo a console.log(<variableDeRetornoDelEmpaquetador>); para que se imprima el JavaScript desofuscado en lugar de ejecutarse.
Luego, pega el JavaScript modificado (y aún ofuscado) en https://jsconsole.com/ para ver el JavaScript desofuscado registrado en la consola.
Finalmente, pega la salida desofuscada en https://prettier.io/playground/ para embellecerlo para el análisis.
Nota: Si sigues viendo JavaScript empaquetado (pero diferente), puede estar empaquetado de forma recursiva. Repite el proceso.

Referencias

Herramientas

https://portswigger.net/burp/documentation/desktop/tools/dom-invader

Referencias Menos Utilizadas

AnteriorSpecial HTTP headers SiguienteSpring Actuators

Última actualización hace 21 días