Ukranian - Ht
HackTricks Training Twitter Linkedin Sponsor

Source code Review / SAST Tools

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Направлення та & Списки інструментів

Інструменти для багатьох мов

Naxus - AI-Gents

Є безкоштовний пакет для перегляду PR.

Semgrep

Це інструмент з відкритим вихідним кодом.

Підтримувані мови

КатегоріяМови

GA

C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX

Beta

Kotlin · Rust

Експериментально

Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Швидкий старт

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Ви також можете використовувати розширення VSCode Semgrep, щоб отримати результати всередині VSCode.

SonarQube

Є можлива для встановлення безкоштовна версія.

Швидкий старт

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Існує безкоштовна версія для встановлення, але згідно з ліцензією ви можете використовувати безкоштовну версію CodeQL лише в проектах з відкритим вихідним кодом.

Встановлення

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Швидкий старт - Підготовка бази даних

Перш ніж почати, вам потрібно підготувати базу даних (створити дерево коду), щоб потім виконувати запити до неї.

  • Ви можете дозволити codeql автоматично визначити мову репозиторію та створити базу даних

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

Це зазвичай спричиняє помилку, що було вказано більше однієї мови (або автоматично визначено). Перевірте наступні варіанти, щоб виправити це!

  • Ви можете це зробити вручну, вказавши репозиторій та мову (список мов)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

  • Якщо ваш репозиторій використовує більше ніж 1 мову, ви також можете створити 1 базу даних на кожну мову, вказавши кожну мову.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

  • Ви також можете дозволити codeql ідентифікувати всі мови для вас та створити базу даних для кожної мови. Вам потрібно надати GITHUB_TOKEN.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Швидкий старт - Аналізуйте код

Тепер нарешті час проаналізувати код

Пам'ятайте, що якщо ви використовували кілька мов, база даних для кожної мови буде створена за шляхом, який ви вказали.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Швидкий старт - Сценарій

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Ви можете візуалізувати результати за посиланням https://microsoft.github.io/sarif-web-component/ або використовуючи розширення VSCode SARIF viewer.

Ви також можете використовувати розширення VSCode, щоб отримати результати всередині VSCode. Вам все ще потрібно буде створити базу даних вручну, але потім ви зможете вибрати будь-які файли та клацнути на Правий клацок -> CodeQL: Run Queries in Selected Files

Snyk

Є безкоштовна версія для встановлення.

Швидкий старт

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Ви також можете використовувати розширення VSCode Snyk, щоб отримати результати всередині VSCode.

Insider

Це відкритий код, але виглядає необслуговуваним.

Підтримувані мови

Java (Maven та Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# та Javascript (Node.js).

Швидкий старт

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Безкоштовно для публічних репозиторіїв.

NodeJS

  • yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit

  • pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit

  • nodejsscan: Статичний сканер безпеки коду (SAST) для додатків Node.js, що працює на основі libsast та semgrep.

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

  • RetireJS: Мета Retire.js - допомогти виявити використання версій JS-бібліотек з відомими вразливостями.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

  • electronegativity: Це інструмент для ідентифікації неправильних конфігурацій та анти-шаблонів безпеки в програмах, що базуються на Electron.

Python

  • Bandit: Bandit - це інструмент, призначений для виявлення загальних проблем безпеки в коді Python. Для цього Bandit обробляє кожен файл, створює AST з нього та запускає відповідні плагіни проти вузлів AST. Після того, як Bandit завершить сканування всіх файлів, він генерує звіт.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

  • безпека: Safety перевіряє залежності Python на відомі вразливості безпеки та пропонує належні заходи для виправлення виявлених вразливостей. Safety може бути запущений на машинах розробників, в конвеєрах CI/CD та на виробничих системах.

# Install
pip install safety
# Run
safety check

  • Pyt: Не підтримується.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

Java

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
ЗавданняКоманда

Виконати Jar

java -jar [jar]

Розпакувати Jar

unzip -d [output directory] [jar]

Створити Jar

jar -cmf META-INF/MANIFEST.MF [output jar] *

Base64 SHA256

sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64

Видалити Підпис

rm META-INF/.SF META-INF/.RSA META-INF/*.DSA

Видалити з Jar

zip -d [jar] [file to remove]

Декомпілювати клас

procyon -o . [path to class]

Декомпілювати Jar

procyon -jar [jar] -o [output directory]

Скомпілювати клас

javac [path to .java file]

Go

https://github.com/securego/gosec

PHP

Psalm та PHPStan.

Wordpress Плагіни

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

JavaScript

Відкриття

  1. Burp:

  • Павук та відкриття контенту

  • Карта сайту > фільтр

  • Карта сайту > клацніть правою кнопкою миші на домені > Інструменти взаємодії > Знайти скрипти

  1. WaybackURLs:

  • waybackurls <domain> |grep -i "\.js" |sort -u

Статичний аналіз

Розгорнути/Красиво/Відформатувати

Розшифрувати/Розпакувати

Примітка: Можливо, не вдасться повністю розшифрувати.

  1. Знайдіть та використовуйте файли .map:

  • Якщо файли .map викладені, їх можна використовувати для легкої розшифрування.

  • Зазвичай foo.js.map відповідає foo.js. Ручне пошукайте їх.

  • Використовуйте JS Miner для їх пошуку.

  • Переконайтеся, що виконується активне сканування.

  • Прочитайте 'Поради/Примітки'

  • Якщо знайдено, використовуйте Maximize для розшифрування.

  1. Без файлів .map, спробуйте JSnice:

  • Посилання: http://jsnice.org/ & https://www.npmjs.com/package/jsnice

  • Поради:

  • Якщо використовуєте jsnice.org, клацніть на кнопку параметрів поряд з кнопкою "Nicify JavaScript" та скасуйте вибір "Infer types", щоб уникнути перенасичення коду коментарями.

  • Переконайтеся, що не залишаєте порожніх рядків перед скриптом, оскільки це може вплинути на процес розшифрування та дати неточні результати.

  1. Використовуйте console.log();

  • Знайдіть значення повернення в кінці та змініть його на console.log(<packerReturnVariable>);, щоб розшифрований js виводився на екран замість виконання.

  • Потім вставте змінений (і все ще зашифрований) js на https://jsconsole.com/, щоб побачити розшифрований js, який виведено на екран.

  • Нарешті, вставте розшифрований вивід на https://prettier.io/playground/ для його красивого форматування для аналізу.

  • Примітка: Якщо ви все ще бачите упакований (але різний) js, це може бути рекурсивно упакований. Повторіть процес.

Посилання

  • https://www.youtube.com/watch?v=_v8r_t4v6hQ

  • https://blog.nvisium.com/angular-for-pentesters-part-1

  • https://blog.nvisium.com/angular-for-pentesters-part-2

Інструменти

  • https://portswigger.net/burp/documentation/desktop/tools/dom-invader

Менше Використані Посилання

  • https://cyberchef.org/

  • https://olajs.com/javascript-prettifier

  • https://jshint.com/

  • https://github.com/jshint/jshint/

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

PreviousSpecial HTTP headersNextSpring Actuators

Last updated