Source code Review / SAST Tools

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

Se vuoi vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
Ottieni il merchandising ufficiale PEASS & HackTricks
Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @carlospolopm.
Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.

Guida e & Elenco degli strumenti

Strumenti Multi-Lingua

Naxus - AI-Gents

C'è un pacchetto gratuito per la revisione dei PR.

Semgrep

È uno strumento Open Source.

Lingue Supportate

Categoria	Lingue
GA	C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta	Kotlin · Rust
Sperimentale	Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Categoria

Lingue

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Sperimentale

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Avvio Veloce

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Puoi anche utilizzare l'estensione VSCode semgrep per ottenere i risultati all'interno di VSCode.

SonarQube

C'è una versione gratuita installabile.

Avvio rapido

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

C'è una versione gratuita installabile ma secondo la licenza puoi utilizzare solo la versione gratuita di CodeQL nei progetti Open Source.

Installazione

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Avvio rapido - Prepara il database

La prima cosa da fare è preparare il database (creare l'albero del codice) in modo che successivamente le query possano essere eseguite su di esso.

Puoi permettere a codeql di identificare automaticamente il linguaggio del repository e creare il database

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Questo di solito provoca un errore dicendo che sono stati specificati più di un linguaggio (o rilevati automaticamente). Controlla le opzioni successive per risolvere questo problema!

Puoi fare questo indicando manualmente il repo e il linguaggio (elenco dei linguaggi)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Se il tuo repository sta utilizzando più di 1 linguaggio, puoi anche creare 1 DB per ogni linguaggio indicando ciascun linguaggio.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

È anche possibile consentire a codeql di identificare tutti i linguaggi per te e creare un database per ogni linguaggio. È necessario fornire un GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Avvio rapido - Analizza il codice

Ora è finalmente il momento di analizzare il codice

Ricorda che se hai utilizzato diversi linguaggi, un DB per linguaggio sarà stato creato nel percorso specificato.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Avvio rapido - Scriptato

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Puoi visualizzare le scoperte su https://microsoft.github.io/sarif-web-component/ o utilizzando l'estensione di VSCode SARIF viewer.

Puoi anche utilizzare l'estensione di VSCode per ottenere le scoperte all'interno di VSCode. Dovrai comunque creare manualmente un database, ma poi potrai selezionare qualsiasi file e fare clic su Fare clic destro -> CodeQL: Esegui query nei file selezionati

Snyk

C'è una versione gratuita installabile.

Avvio rapido

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Puoi anche utilizzare l'estensione VSCode di snyk per ottenere risultati all'interno di VSCode.

Insider

È Open Source, ma sembra non mantenuto.

Lingue supportate

Java (Maven e Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# e Javascript (Node.js).

Inizio rapido

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Gratuito per i repository pubblici.

NodeJS

yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit

pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit

nodejsscan: Scanner statico di codice di sicurezza (SAST) per le applicazioni Node.js alimentato da libsast e semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

RetireJS: L'obiettivo di Retire.js è aiutarti a rilevare l'uso di versioni di librerie JS con vulnerabilità conosciute.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

electronegativity: È uno strumento per identificare configurazioni errate e anti-pattern di sicurezza nelle applicazioni basate su Electron.

Python

Bandit: Bandit è uno strumento progettato per trovare problemi di sicurezza comuni nel codice Python. Per fare ciò, Bandit elabora ciascun file, costruisce un AST da esso e esegue i plugin appropriati contro i nodi AST. Una volta completata la scansione di tutti i file, Bandit genera un report.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

safety: Safety controlla le dipendenze Python per le vulnerabilità di sicurezza conosciute e suggerisce le correzioni adeguate per le vulnerabilità rilevate. Safety può essere eseguito sulle macchine degli sviluppatori, nelle pipeline CI/CD e sui sistemi di produzione.

# Install
pip install safety
# Run
safety check

~~Pyt~~: Non mantenuto.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

Java è un linguaggio di programmazione ad alto livello ampiamente utilizzato per lo sviluppo di applicazioni web e software. È noto per la sua portabilità e la sua capacità di eseguire su diverse piattaforme senza dover essere ricompilato. La sua sintassi è simile a C++, rendendolo familiare a molti sviluppatori.

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

Compito	Comando
Esegui Jar	java -jar [jar]
Decomprimi Jar	unzip -d [directory di output] [jar]
Crea Jar	jar -cmf META-INF/MANIFEST.MF [jar di output] *
Base64 SHA256	sha256sum [file] \| cut -d' ' -f1 \| xxd -r -p \| base64
Rimuovi Firma	rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
Elimina da Jar	zip -d [jar] [file da rimuovere]
Decompila classe	procyon -o . [percorso della classe]
Decompila Jar	procyon -jar [jar] -o [directory di output]
Compila classe	javac [percorso del file .java]

Compito

Comando

Esegui Jar

java -jar [jar]

Decomprimi Jar

unzip -d [directory di output] [jar]

Crea Jar

jar -cmf META-INF/MANIFEST.MF [jar di output] *

Base64 SHA256

sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64

Rimuovi Firma

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Elimina da Jar

zip -d [jar] [file da rimuovere]

Decompila classe

procyon -o . [percorso della classe]

Decompila Jar

procyon -jar [jar] -o [directory di output]

Compila classe

javac [percorso del file .java]

Vai

https://github.com/securego/gosec

PHP

Psalm e PHPStan.

Plugin Wordpress

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

https://www.npmjs.com/package/solium

JavaScript

Scoperta

Burp:

Spider e scopri contenuti
Sitemap > filtro
Sitemap > clic destro sul dominio > Strumenti di coinvolgimento > Trova script

WaybackURLs:

waybackurls <dominio> |grep -i "\.js" |sort -u

Analisi Statica

De-minimizzare/Abbellire/Prettify

https://prettier.io/playground/
https://beautifier.io/
Vedi anche alcuni degli strumenti menzionati in 'Deobfuscate/Unpack' di seguito.

Deobfuscate/Unpack

Nota: Potrebbe non essere possibile deobfuscare completamente.

Trova e usa i file .map:

Se i file .map sono esposti, possono essere utilizzati per deobfuscare facilmente.
Comunemente, foo.js.map mappa a foo.js. Cerca manualmente.
Usa JS Miner per cercarli.
Assicurati di condurre una scansione attiva.
Leggi 'Suggerimenti/Note'
Se trovati, usa Maximize per deobfuscare.

Senza file .map, prova JSnice:

Riferimenti: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
Suggerimenti:
Se usi jsnice.org, fai clic sul pulsante delle opzioni accanto al pulsante "Nicify JavaScript" e deseleziona "Infer types" per ridurre l'ingombro del codice con commenti.
Assicurati di non lasciare linee vuote prima dello script, poiché potrebbe influenzare il processo di deobfuscation e fornire risultati inaccurati.

Per alcune alternative più moderne a JSNice, potresti voler dare un'occhiata ai seguenti:

https://github.com/pionxzh/wakaru
Decompilatore Javascript, unpacker e toolkit unminify

Wakaru è il decompilatore Javascript per il frontend moderno. Riporta il codice originale da una sorgente raggruppata e trasportata.

https://github.com/j4k0xb/webcrack
Deobfuscate obfuscator.io, unminify e unpack javascript raggruppati
https://github.com/jehna/humanify
Un-minify del codice Javascript utilizzando ChatGPT

Questo strumento utilizza modelli di lingua ampi (come ChatGPT & llama2) e altri strumenti per un-minify del codice Javascript. Nota che LLM non apporta alcuna modifica strutturale: forniscono solo suggerimenti per rinominare variabili e funzioni. Il lavoro pesante è fatto da Babel a livello di AST per garantire che il codice rimanga equivalente 1-1.

https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html
Utilizzo di LLM per invertire la minificazione dei nomi delle variabili Javascript

Usa console.log();

Trova il valore di ritorno alla fine e cambialo in console.log(<variabileRitornoPacker>); in modo che il js deobfuscated venga stampato anziché eseguito.
Quindi, incolla il js modificato (ancora oscurato) in https://jsconsole.com/ per vedere il js deobfuscated registrato nella console.
Infine, incolla l'output deobfuscated in https://prettier.io/playground/ per abbellirlo per l'analisi.
Nota: Se stai ancora vedendo js impacchettato (ma diverso), potrebbe essere impacchettato in modo ricorsivo. Ripeti il processo.

Riferimenti

Strumenti

https://portswigger.net/burp/documentation/desktop/tools/dom-invader

Riferimenti Meno Usati

PreviousSpecial HTTP headers NextSpring Actuators

Last updated 20 days ago