Polish - Ht
HackTricks Training Twitter Linkedin Sponsor

Source code Review / SAST Tools

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Wskazówki i listy narzędzi

Narzędzia wielojęzyczne

Naxus - AI-Gents

Dostępny jest darmowy pakiet do przeglądu PR.

Semgrep

To narzędzie typu Open Source.

Obsługiwane języki

Szybki start

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Możesz również użyć rozszerzenia VSCode semgrep, aby uzyskać wyniki wewnątrz VSCode.

SonarQube

Dostępna jest instalowalna darmowa wersja.

Szybki start

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Istnieje darmowa wersja instalacyjna, ale zgodnie z licencją możesz korzystać tylko z darmowej wersji CodeQL w projektach typu Open Source.

Instalacja

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Szybki start - Przygotowanie bazy danych

Pierwszą rzeczą, którą musisz zrobić, jest przygotowanie bazy danych (utworzenie drzewa kodu), aby później zapytania mogły być na niej uruchamiane.

  • Możesz pozwolić codeqlowi automatycznie zidentyfikować język repozytorium i utworzyć bazę danych

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

To zazwyczaj spowoduje błąd mówiący, że określono więcej niż jedny język (lub został automatycznie wykryty). Sprawdź następne opcje, aby to naprawić!

  • Możesz to zrobić ręcznie wskazując repozytorium i język (lista języków)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

  • Jeśli twoje repozytorium używa więcej niż 1 języka, możesz również utworzyć 1 bazę danych na język, wskazując każdy język.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

  • Możesz również pozwolić codeql na zidentyfikowanie wszystkich języków dla Ciebie i utworzenie bazy danych dla każdego języka. Musisz podać GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Szybki start - Analiza kodu

Nadszedł wreszcie czas na analizę kodu

Pamiętaj, że jeśli użyłeś kilku języków, baza danych na język została utworzona w ścieżce, którą określiłeś.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Szybki start - Skryptowany

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Możesz zwizualizować znalezione elementy na https://microsoft.github.io/sarif-web-component/ lub używając rozszerzenia VSCode SARIF viewer.

Możesz także użyć rozszerzenia VSCode, aby uzyskać wyniki wewnątrz VSCode. Nadal będziesz musiał ręcznie utworzyć bazę danych, ale potem możesz wybrać dowolne pliki i kliknąć Prawy przycisk myszy -> CodeQL: Uruchom zapytania w wybranych plikach

Snyk

Dostępna jest darmowa wersja instalacyjna.

Szybki start

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Możesz również używać rozszerzenia Snyk dla VSCode, aby uzyskać wyniki wewnątrz VSCode.

Insider

To Open Source, ale wygląda na nieutrzymywane.

Obsługiwane języki

Java (Maven i Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# oraz Javascript (Node.js).

Szybki start

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Darmowe dla repozytoriów publicznych.

NodeJS

  • yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit

  • pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit

  • nodejsscan: Statyczne narzędzie skanujące kod pod kątem bezpieczeństwa (SAST) dla aplikacji Node.js oparte na libsast i semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

  • RetireJS: Celem Retire.js jest pomóc w wykrywaniu użycia wersji bibliotek JS znanymi podatnościami.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

  • electronegativity: Jest to narzędzie do identyfikowania błędnych konfiguracji i antywzorców bezpieczeństwa w aplikacjach opartych na Electron.

Python

  • Bandit: Bandit to narzędzie przeznaczone do znajdowania powszechnych problemów związanych z bezpieczeństwem w kodzie Pythona. Aby to zrobić, Bandit przetwarza każdy plik, buduje z niego AST i uruchamia odpowiednie wtyczki przeciwko węzłom AST. Po zakończeniu skanowania wszystkich plików Bandit generuje raport.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

  • safety: Safety sprawdza zależności Pythona pod kątem znanych podatności bezpieczeństwa i sugeruje odpowiednie środki zaradcze dla wykrytych podatności. Safety można uruchamiać na maszynach programistów, w potokach CI/CD oraz na systemach produkcyjnych.

# Install
pip install safety
# Run
safety check

  • Pyt: Nieaktualizowany.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

FindBugs

FindBugs to darmowe narzędzie do statycznej analizy kodu Java, które pomaga w identyfikowaniu błędów programistycznych, takich jak wycieki pamięci, nieprawidłowe użycie zmiennych czy błędy wydajnościowe.

PMD

PMD to kolejne narzędzie do analizy statycznej kodu Java, które pomaga w identyfikowaniu potencjalnych problemów w kodzie, takich jak nieoptymalne fragmenty kodu, nieużywane zmienne czy nieprawidłowe formatowanie.

Checkstyle

Checkstyle to narzędzie do automatycznej weryfikacji zgodności z zdefiniowanymi standardami kodu Java. Pomaga w utrzymaniu spójności i czytelności kodu poprzez sprawdzanie zgodności z ustalonymi regułami formatowania.

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

Go

https://github.com/securego/gosec

PHP

Psalm i PHPStan.

Wtyczki Wordpress

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

JavaScript

Odkrywanie

  1. Burp:

  • Spider i odkrywaj zawartość

  • Mapa witryny > filtr

  • Mapa witryny > kliknij prawym przyciskiem domenę > Narzędzia zaangażowania > Znajdź skrypty

  1. WaybackURLs:

  • waybackurls <domena> |grep -i "\.js" |sort -u

Analiza statyczna

Odmień/Rozjaśnij/Upiększ

Deobfuscate/Unpack

Uwaga: Może nie być możliwe całkowite deobfuskowanie.

  1. Znajdź i użyj plików .map:

  • Jeśli pliki .map są ujawnione, mogą być użyte do łatwego deobfuskowania.

  • Zazwyczaj foo.js.map mapuje do foo.js. Szukaj ich ręcznie.

  • Użyj JS Miner, aby je znaleźć.

  • Upewnij się, że przeprowadzono aktywne skanowanie.

  • Przeczytaj 'Wskazówki/Notatki'

  • Jeśli znalezione, użyj Maximize do deobfuskacji.

  1. Bez plików .map, spróbuj JSnice:

  • Odnośniki: http://jsnice.org/ & https://www.npmjs.com/package/jsnice

  • Wskazówki:

  • Jeśli korzystasz z jsnice.org, kliknij przycisk opcji obok przycisku "Nicify JavaScript" i odznacz "Infer types", aby zmniejszyć zagrzybienie kodu komentarzami.

  • Upewnij się, że nie pozostawiasz pustych linii przed skryptem, ponieważ może to wpłynąć na proces deobfuskacji i prowadzić do niedokładnych wyników.

  1. Dla niektórych nowoczesnych alternatyw dla JSNice, możesz chcieć spojrzeć na następujące:

Wakaru to dekompilator JavaScript dla nowoczesnych interfejsów. Przywraca oryginalny kod z połączonego i przetłumaczonego źródła.

To narzędzie używa dużych modeli językowych (takich jak ChatGPT i llama2) oraz innych narzędzi do rozpakowania kodu JavaScript. Należy zauważyć, że LLM nie wykonują żadnych zmian strukturalnych - dostarczają tylko wskazówek do zmiany nazw zmiennych i funkcji. Ciężka praca jest wykonywana przez Babel na poziomie AST, aby zapewnić, że kod pozostaje równoważny 1-1.

  1. Użyj console.log();

  • Znajdź wartość zwracaną na końcu i zmień ją na console.log(<packerReturnVariable>);, aby zamiast wykonywania, deobfuskowany js został wydrukowany.

  • Następnie wklej zmodyfikowany (i nadal zaszyfrowany) js do https://jsconsole.com/, aby zobaczyć zdeobfuskowany js zapisany w konsoli.

  • Na koniec wklej wynik deobfuskacji do https://prettier.io/playground/, aby upiększyć go do analizy.

  • Uwaga: Jeśli nadal widzisz spakowany (ale inny) js, może być rekurencyjnie spakowany. Powtórz proces.

Odnośniki

Narzędzia

Mniej Używane Odnośniki

PreviousSpecial HTTP headersNextSpring Actuators

Last updated