Source code Review / SAST Tools

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Wskazówki i listy narzędzi

Narzędzia wielojęzyczne

Dostępny jest darmowy pakiet do przeglądu PR.

To narzędzie typu Open Source.

Obsługiwane języki

KategoriaJęzyki

GA

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Eksperymentalne

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Szybki start

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Możesz również użyć rozszerzenia VSCode semgrep, aby uzyskać wyniki wewnątrz VSCode.

Dostępna jest instalowalna darmowa wersja.

Szybki start

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Istnieje darmowa wersja instalacyjna, ale zgodnie z licencją możesz korzystać tylko z darmowej wersji CodeQL w projektach typu Open Source.

Instalacja

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Szybki start - Przygotowanie bazy danych

Pierwszą rzeczą, którą musisz zrobić, jest przygotowanie bazy danych (utworzenie drzewa kodu), aby później zapytania mogły być na niej uruchamiane.

  • Możesz pozwolić codeqlowi automatycznie zidentyfikować język repozytorium i utworzyć bazę danych

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

To zazwyczaj spowoduje błąd mówiący, że określono więcej niż jedny język (lub został automatycznie wykryty). Sprawdź następne opcje, aby to naprawić!

  • Możesz to zrobić ręcznie wskazując repozytorium i język (lista języków)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
  • Jeśli twoje repozytorium używa więcej niż 1 języka, możesz również utworzyć 1 bazę danych na język, wskazując każdy język.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
  • Możesz również pozwolić codeql na zidentyfikowanie wszystkich języków dla Ciebie i utworzenie bazy danych dla każdego języka. Musisz podać GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Szybki start - Analiza kodu

Nadszedł wreszcie czas na analizę kodu

Pamiętaj, że jeśli użyłeś kilku języków, baza danych na język została utworzona w ścieżce, którą określiłeś.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Szybki start - Skryptowany

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Możesz zwizualizować znalezione elementy na https://microsoft.github.io/sarif-web-component/ lub używając rozszerzenia VSCode SARIF viewer.

Możesz także użyć rozszerzenia VSCode, aby uzyskać wyniki wewnątrz VSCode. Nadal będziesz musiał ręcznie utworzyć bazę danych, ale potem możesz wybrać dowolne pliki i kliknąć Prawy przycisk myszy -> CodeQL: Uruchom zapytania w wybranych plikach

Dostępna jest darmowa wersja instalacyjna.

Szybki start

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Możesz również używać rozszerzenia Snyk dla VSCode, aby uzyskać wyniki wewnątrz VSCode.

To Open Source, ale wygląda na nieutrzymywane.

Obsługiwane języki

Java (Maven i Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# oraz Javascript (Node.js).

Szybki start

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

Darmowe dla repozytoriów publicznych.

NodeJS

  • yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit
  • pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
  • nodejsscan: Statyczne narzędzie skanujące kod pod kątem bezpieczeństwa (SAST) dla aplikacji Node.js oparte na libsast i semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
  • RetireJS: Celem Retire.js jest pomóc w wykrywaniu użycia wersji bibliotek JS znanymi podatnościami.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

  • electronegativity: Jest to narzędzie do identyfikowania błędnych konfiguracji i antywzorców bezpieczeństwa w aplikacjach opartych na Electron.

Python

  • Bandit: Bandit to narzędzie przeznaczone do znajdowania powszechnych problemów związanych z bezpieczeństwem w kodzie Pythona. Aby to zrobić, Bandit przetwarza każdy plik, buduje z niego AST i uruchamia odpowiednie wtyczki przeciwko węzłom AST. Po zakończeniu skanowania wszystkich plików Bandit generuje raport.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>
  • safety: Safety sprawdza zależności Pythona pod kątem znanych podatności bezpieczeństwa i sugeruje odpowiednie środki zaradcze dla wykrytych podatności. Safety można uruchamiać na maszynach programistów, w potokach CI/CD oraz na systemach produkcyjnych.

# Install
pip install safety
# Run
safety check
  • Pyt: Nieaktualizowany.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

FindBugs

FindBugs to darmowe narzędzie do statycznej analizy kodu Java, które pomaga w identyfikowaniu błędów programistycznych, takich jak wycieki pamięci, nieprawidłowe użycie zmiennych czy błędy wydajnościowe.

PMD

PMD to kolejne narzędzie do analizy statycznej kodu Java, które pomaga w identyfikowaniu potencjalnych problemów w kodzie, takich jak nieoptymalne fragmenty kodu, nieużywane zmienne czy nieprawidłowe formatowanie.

Checkstyle

Checkstyle to narzędzie do automatycznej weryfikacji zgodności z zdefiniowanymi standardami kodu Java. Pomaga w utrzymaniu spójności i czytelności kodu poprzez sprawdzanie zgodności z ustalonymi regułami formatowania.

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
ZadanieKomenda

Wykonaj Jar

java -jar [jar]

Rozpakuj Jar

unzip -d [katalog wyjściowy] [jar]

Utwórz Jar

jar -cmf META-INF/MANIFEST.MF [jar wyjściowy] *

Base64 SHA256

sha256sum [plik] | cut -d' ' -f1 | xxd -r -p | base64

Usuń Podpis

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Usuń z Jara

zip -d [jar] [plik do usunięcia]

Dekompiluj klasę

procyon -o . [ścieżka do klasy]

Dekompiluj Jar

procyon -jar [jar] -o [katalog wyjściowy]

Skompiluj klasę

javac [ścieżka do pliku .java]

Go

https://github.com/securego/gosec

PHP

Psalm i PHPStan.

Wtyczki Wordpress

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

JavaScript

Odkrywanie

  1. Burp:

  • Spider i odkrywaj zawartość

  • Mapa witryny > filtr

  • Mapa witryny > kliknij prawym przyciskiem domenę > Narzędzia zaangażowania > Znajdź skrypty

  • waybackurls <domena> |grep -i "\.js" |sort -u

Analiza statyczna

Odmień/Rozjaśnij/Upiększ

Deobfuscate/Unpack

Uwaga: Może nie być możliwe całkowite deobfuskowanie.

  1. Znajdź i użyj plików .map:

  • Jeśli pliki .map są ujawnione, mogą być użyte do łatwego deobfuskowania.

  • Zazwyczaj foo.js.map mapuje do foo.js. Szukaj ich ręcznie.

  • Użyj JS Miner, aby je znaleźć.

  • Upewnij się, że przeprowadzono aktywne skanowanie.

  • Przeczytaj 'Wskazówki/Notatki'

  • Jeśli znalezione, użyj Maximize do deobfuskacji.

  1. Bez plików .map, spróbuj JSnice:

  • Wskazówki:

  • Jeśli korzystasz z jsnice.org, kliknij przycisk opcji obok przycisku "Nicify JavaScript" i odznacz "Infer types", aby zmniejszyć zagrzybienie kodu komentarzami.

  • Upewnij się, że nie pozostawiasz pustych linii przed skryptem, ponieważ może to wpłynąć na proces deobfuskacji i prowadzić do niedokładnych wyników.

  1. Dla niektórych nowoczesnych alternatyw dla JSNice, możesz chcieć spojrzeć na następujące:

Wakaru to dekompilator JavaScript dla nowoczesnych interfejsów. Przywraca oryginalny kod z połączonego i przetłumaczonego źródła.

To narzędzie używa dużych modeli językowych (takich jak ChatGPT i llama2) oraz innych narzędzi do rozpakowania kodu JavaScript. Należy zauważyć, że LLM nie wykonują żadnych zmian strukturalnych - dostarczają tylko wskazówek do zmiany nazw zmiennych i funkcji. Ciężka praca jest wykonywana przez Babel na poziomie AST, aby zapewnić, że kod pozostaje równoważny 1-1.

  1. Użyj console.log();

  • Znajdź wartość zwracaną na końcu i zmień ją na console.log(<packerReturnVariable>);, aby zamiast wykonywania, deobfuskowany js został wydrukowany.

  • Następnie wklej zmodyfikowany (i nadal zaszyfrowany) js do https://jsconsole.com/, aby zobaczyć zdeobfuskowany js zapisany w konsoli.

  • Na koniec wklej wynik deobfuskacji do https://prettier.io/playground/, aby upiększyć go do analizy.

  • Uwaga: Jeśli nadal widzisz spakowany (ale inny) js, może być rekurencyjnie spakowany. Powtórz proces.

Odnośniki

Narzędzia

Mniej Używane Odnośniki

Last updated