Serbian - Ht
HackTricks Training Twitter Linkedin Sponsor

Source code Review / SAST Tools

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Uputstva i liste alata

Alati za više jezika

Naxus - AI-Gents

Postoji bespaltan paket za pregled PR-ova.

Semgrep

To je Open Source alat.

Podržani jezici

KategorijaJezici

GA

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Eksperimentalno

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Brzi Start

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Takođe možete koristiti semgrep VSCode Extension da biste dobili rezultate unutar VSCode-a.

SonarQube

Postoji instalabilna besplatna verzija.

Brzi Start

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Postoji besplatna verzija koja se može instalirati, ali prema licenci možete koristiti besplatnu verziju CodeQL-a samo u projektima otvorenog koda.

Instalacija

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Brzi početak - Priprema baze podataka

Prva stvar koju treba da uradite je da pripremite bazu podataka (kreirate stablo koda) kako biste kasnije izvršavali upite nad njom.

  • Možete dozvoliti codeql-u da automatski identifikuje jezik repozitorijuma i kreira bazu podataka

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Ovo obično izaziva grešku koja kaže da je navedeno više od jednog jezika (ili je automatski detektovan). Proverite sledeće opcije da biste to rešili!

  • Možete to uraditi ručno navodeći repozitorijum i jezik (lista jezika)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

  • Ako vaš repozitorijum koristi više od 1 jezika, takođe možete kreirati 1 bazu podataka po jeziku označavajući svaki jezik.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

  • Takođe možete dozvoliti codeql da identifikuje sve jezike za vas i kreira bazu podataka po jeziku. Morate mu dati GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Brzi početak - Analiza koda

Sada je konačno vreme za analizu koda

Zapamtite da ako ste koristili više jezika, baza podataka po jeziku bi bila kreirana na putanji koju ste naveli.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Brzi Start - Skriptovano

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Možete vizualizovati nalaze na https://microsoft.github.io/sarif-web-component/ ili koristeći VSCode ekstenziju SARIF viewer.

Takođe možete koristiti VSCode ekstenziju da dobijete nalaze unutar VSCode-a. Ipak, moraćete ručno kreirati bazu podataka, ali zatim možete izabrati bilo koje datoteke i kliknuti na Desni Klik -> CodeQL: Pokreni Upite u Izabranim Datotekama

Snyk

Postoji besplatna instalabilna verzija.

Brzi Start

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Možete koristiti snyk VSCode Extension da biste dobili rezultate unutar VSCode-a.

Insider

To je Open Source, ali izgleda neodržavan.

Podržani jezici

Java (Maven i Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, i Javascript (Node.js).

Brzi Start

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Besplatno za javne repozitorijume.

NodeJS

  • yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit

  • pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

  • RetireJS: Cilj Retire.js-a je da vam pomogne da otkrijete korišćenje verzija JS biblioteka sa poznatim ranjivostima.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

  • electronegativity: Ovo je alat za identifikaciju loše konfigurisanih i sigurnosnih anti-uzoraka u aplikacijama zasnovanim na Electron-u.

Python

  • Bandit: Bandit je alat dizajniran za pronalaženje uobičajenih sigurnosnih problema u Python kodu. Da bi to postigao, Bandit obrađuje svaki fajl, gradi AST iz njega, i pokreće odgovarajuće dodatke protiv čvorova AST-a. Kada Bandit završi skeniranje svih fajlova, generiše izveštaj.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

  • safety: Safety proverava Python zavisnosti za poznate sigurnosne ranjivosti i predlaže odgovarajuće popravke za otkrivene ranjivosti. Safety se može pokrenuti na razvojnim mašinama, u CI/CD tokovima i na produkcionim sistemima.

# Install
pip install safety
# Run
safety check

  • Pyt: Nije održavan.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

FindBugs

FindBugs je alat za statičku analizu Java koda koji otkriva greške u kodu, kao što su greške u upravljanju memorijom, greške u konkurentnom programiranju, grejsoni i druge greške.

Instalacija:

sudo apt-get install findbugs

Korišćenje:

findbugs -textui <ime_fajla>.class

PMD

PMD je još jedan alat za statičku analizu Java koda koji pronalazi greške u kodu, kao što su neefikasne konstrukcije, neiskorišćene varijable, nepotrebne konverzije tipova i druge greške.

Instalacija:

sudo apt-get install pmd

Korišćenje:

pmd -d <ime_fajla>.java -f text
# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
ZadatakKomanda

Izvrši Jar

java -jar [jar]

Dekompresuj Jar

unzip -d [output directory] [jar]

Napravi Jar

jar -cmf META-INF/MANIFEST.MF [output jar] *

Base64 SHA256

sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64

Ukloni Potpis

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Obriši iz Jara

zip -d [jar] [file to remove]

Dekompajliraj klasu

procyon -o . [path to class]

Dekompajliraj Jar

procyon -jar [jar] -o [output directory]

Kompajliraj klasu

javac [path to .java file]

Idi

https://github.com/securego/gosec

PHP

Psalm и PHPStan.

Wordpress Dodaci

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

JavaScript

Otkriće

  1. Burp:

  • Pauk i otkrijte sadržaj

  • Sitemap > filter

  • Sitemap > desni klik na domen > Alati za angažovanje > Pronađi skripte

  1. WaybackURLs:

  • waybackurls <domain> |grep -i "\.js" |sort -u

Statička Analiza

Unminimize/Beautify/Prettify

Deobfuscate/Unpack

Napomena: Možda nije moguće potpuno deobfuscirati.

  1. Pronađite i koristite .map fajlove:

  • Ako su .map fajlovi izloženi, mogu se lako koristiti za deobfusciranje.

  • Često, foo.js.map mapira na foo.js. Ručno ih potražite.

  • Koristite JS Miner da ih potražite.

  • Osigurajte da se vrši aktivno skeniranje.

  • Pročitajte 'Saveti/Napomene'

  • Ako ih pronađete, koristite Maximize za deobfusciranje.

  1. Bez .map fajlova, pokušajte sa JSnice:

  • Reference: http://jsnice.org/ & https://www.npmjs.com/package/jsnice

  • Saveti:

  • Ako koristite jsnice.org, kliknite na dugme opcija pored dugmeta "Nicify JavaScript" i odznačite "Infer types" da biste smanjili zagušenje koda komentarima.

  • Osigurajte da ne ostavljate prazne linije pre skripte, jer to može uticati na proces deobfusciranja i dati netačne rezultate.

  1. Za neke modernije alternative JSNice-u, možda biste želeli da pogledate sledeće:

Wakaru je dekompajler za JavaScript za moderni frontend. Vraća originalni kod iz bundlovanog i transpiliranog izvora.

Ovaj alat koristi velike jezičke modele (kao što su ChatGPT i llama2) i druge alate za de-minifikaciju JavaScript koda. Imajte na umu da LLM-ovi ne vrše strukturalne promene - oni samo pružaju sugestije za preimenovanje promenljivih i funkcija. Glavni posao obavlja Babel na nivou AST kako bi se osiguralo da kod ostane 1-1 ekvivalentan.

  1. Koristite console.log();

  • Pronađite povratnu vrednost na kraju i promenite je u console.log(<packerReturnVariable>); tako da deobfuscated js bude prikazan umesto izvršenja.

  • Zatim, nalepite modifikovani (i još uvek obfuskirani) js u https://jsconsole.com/ da biste videli deobfuscated js zabeležen u konzoli.

  • Na kraju, nalepite deobfuscated izlaz u https://prettier.io/playground/ da biste ga ulepšali za analizu.

  • Napomena: Ako i dalje vidite upakovan (ali različit) js, možda je rekurzivno upakovan. Ponovite proces.

Reference

Alati

Manje Korišćene Reference

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

PreviousSpecial HTTP headersNextSpring Actuators

Last updated