Source code Review / SAST Tools
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
가이드 및 도구 목록
다국어 도구
PR 검토를 위한 무료 패키지가 있습니다.
오픈 소스 도구입니다.
지원 언어
카테고리 | 언어 |
---|---|
GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
Beta | Kotlin · Rust |
Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · |
빠른 시작
또한 semgrep VSCode Extension을 사용하여 VSCode 내에서 결과를 확인할 수 있습니다.
설치 가능한 무료 버전이 있습니다.
빠른 시작
CodeQL
설치 가능한 무료 버전이 있지만 라이센스에 따르면 오픈 소스 프로젝트에서만 무료 codeQL 버전을 사용할 수 있습니다.
설치
빠른 시작 - 데이터베이스 준비
가장 먼저 해야 할 일은 데이터베이스를 준비하는 것 (코드 트리 생성)으로, 이후 쿼리가 이 위에서 실행됩니다.
codeql이 리포의 언어를 자동으로 식별하고 데이터베이스를 생성하도록 허용할 수 있습니다.
이 는 일반적으로 오류를 발생시킵니다. 여러 언어가 지정되었다고 (또는 자동으로 감지되었다고) 말합니다. 다음 옵션을 확인하여 이를 수정하세요!
당신은 수동으로 repo와 언어를 지정할 수 있습니다 (언어 목록)
만약 당신의 레포가 1개 이상의 언어를 사용하고 있다면, 각 언어를 나타내는 언어별 1개의 DB를 생성할 수도 있습니다.
codeql
이 모든 언어를 식별하고 언어별로 DB를 생성하도록 허용할 수 있습니다. GITHUB_TOKEN을 제공해야 합니다.
빠른 시작 - 코드 분석
이제 드디어 코드를 분석할 시간입니다.
여러 언어를 사용했다면, 언어별 DB가 지정한 경로에 생성되었음을 기억하세요.
빠른 시작 - 스크립트 기반
발견된 내용을 https://microsoft.github.io/sarif-web-component/에서 시각화하거나 VSCode 확장 프로그램 SARIF viewer를 사용하여 시각화할 수 있습니다.
또한 VSCode 확장 프로그램을 사용하여 VSCode 내에서 발견된 내용을 확인할 수 있습니다. 데이터베이스를 수동으로 생성해야 하지만, 이후에는 파일을 선택하고 Right Click
-> CodeQL: Run Queries in Selected Files
를 클릭할 수 있습니다.
설치 가능한 무료 버전이 있습니다.
빠른 시작
You can also use the snyk VSCode Extension to get findings inside VSCode.
It's Open Source, but looks unmaintained.
Supported Languages
Java (Maven 및 Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, 및 Javascript (Node.js).
Quick Start
공개 저장소에 대해 무료입니다.
NodeJS
yarn
pnpm
nodejsscan: Node.js 애플리케이션을 위한 정적 보안 코드 스캐너(SAST)로 libsast와 semgrep로 구동됩니다.
RetireJS: Retire.js의 목표는 알려진 취약점이 있는 JS 라이브러리 버전의 사용을 감지하는 데 도움을 주는 것입니다.
Electron
electronegativity: Electron 기반 애플리케이션의 잘못된 구성 및 보안 안티 패턴을 식별하는 도구입니다.
Python
Bandit: Bandit는 Python 코드에서 일반적인 보안 문제를 찾기 위해 설계된 도구입니다. 이를 위해 Bandit는 각 파일을 처리하고, 그로부터 AST를 구축하며, AST 노드에 대해 적절한 플러그인을 실행합니다. Bandit가 모든 파일 스캔을 완료하면 보고서를 생성합니다.
safety: Safety는 알려진 보안 취약점에 대해 Python 종속성을 검사하고 발견된 취약점에 대한 적절한 수정 사항을 제안합니다. Safety는 개발자 머신, CI/CD 파이프라인 및 프로덕션 시스템에서 실행할 수 있습니다.
Pyt: 유지 관리되지 않음.
.NET
RUST
자바
작업 | 명령어 |
---|---|
Jar 실행 | java -jar [jar] |
Jar 압축 해제 | unzip -d [output directory] [jar] |
Jar 생성 | jar -cmf META-INF/MANIFEST.MF [output jar] * |
Base64 SHA256 | sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64 |
서명 제거 | rm META-INF/.SF META-INF/.RSA META-INF/*.DSA |
Jar에서 삭제 | zip -d [jar] [file to remove] |
클래스 디컴파일 | procyon -o . [path to class] |
Jar 디컴파일 | procyon -jar [jar] -o [output directory] |
클래스 컴파일 | javac [path to .java file] |
Go
PHP
Wordpress Plugins
https://www.pluginvulnerabilities.com/plugin-security-checker/
Solidity
JavaScript
Discovery
Burp:
Spider 및 콘텐츠 발견
Sitemap > 필터
Sitemap > 도메인 우클릭 > Engagement tools > Find scripts
waybackurls <domain> |grep -i "\.js" |sort -u
Static Analysis
Unminimize/Beautify/Prettify
아래 'Deobfuscate/Unpack'에서 언급된 도구들도 확인하세요.
Deobfuscate/Unpack
Note: 완전한 디오브퓨스케이션이 불가능할 수 있습니다.
.map 파일 찾기 및 사용:
.map 파일이 노출되면 쉽게 디오브퓨스케이션할 수 있습니다.
일반적으로 foo.js.map은 foo.js에 매핑됩니다. 수동으로 찾아보세요.
JS Miner를 사용하여 찾아보세요.
활성 스캔이 수행되도록 하세요.
'Tips/Notes'를 읽어보세요.
발견되면 Maximize를 사용하여 디오브퓨스케이션하세요.
.map 파일 없이 JSnice 시도:
팁:
jsnice.org를 사용하는 경우 "Nicify JavaScript" 버튼 옆의 옵션 버튼을 클릭하고 "Infer types"의 선택을 해제하여 코드에 주석으로 혼란을 줄이세요.
스크립트 앞에 빈 줄을 남기지 않도록 하세요. 이는 디오브퓨스케이션 과정에 영향을 미쳐 부정확한 결과를 초래할 수 있습니다.
JSNice의 더 현대적인 대안으로는 다음을 확인할 수 있습니다:
Javascript 디컴파일러, 언팩커 및 언미니파이 툴킷
Wakaru는 현대 프론트엔드를 위한 Javascript 디컴파일러입니다. 번들 및 트랜스파일된 소스에서 원래 코드를 복원합니다.
obfuscator.io 디오브퓨스케이션, 언미니파이 및 번들 자바스크립트 언팩
ChatGPT를 사용하여 Javascript 코드를 언미니파이
이 도구는 대형 언어 모델(예: ChatGPT 및 llama2)과 기타 도구를 사용하여 Javascript 코드를 언미니파이합니다. LLM은 구조적 변경을 수행하지 않으며, 변수 및 함수 이름을 바꾸기 위한 힌트만 제공합니다. 무거운 작업은 Babel이 AST 수준에서 수행하여 코드가 1-1 동등성을 유지하도록 합니다.
LLM을 사용하여 JavaScript 변수 이름 미니피케이션을 역전
console.log()
사용:
끝에서 반환 값을 찾아
console.log(<packerReturnVariable>);
로 변경하여 디오브퓨스케이션된 js가 실행되는 대신 출력되도록 합니다.그런 다음 수정된(여전히 디오브퓨스케이션된) js를 https://jsconsole.com/에 붙여넣어 디오브퓨스케이션된 js가 콘솔에 기록되는 것을 확인합니다.
마지막으로 디오브퓨스케이션된 출력을 https://prettier.io/playground/에 붙여넣어 분석을 위해 아름답게 만듭니다.
Note: 여전히 패킹된(하지만 다른) js가 보인다면, 재귀적으로 패킹되었을 수 있습니다. 과정을 반복하세요.
References
Tools
Less Used References
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Last updated