# स्रोत कोड समीक्षा / SAST उपकरण {{#include ../../banners/hacktricks-training.md}} ## मार्गदर्शन और उपकरणों की सूचियाँ - [**https://owasp.org/www-community/Source_Code_Analysis_Tools**](https://owasp.org/www-community/Source_Code_Analysis_Tools) - [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis) ## बहु-भाषा उपकरण ### [Naxus - AI-Gents](https://www.naxusai.com/) यहाँ **PRs की समीक्षा के लिए एक मुफ्त पैकेज** है। ### [**Semgrep**](https://github.com/returntocorp/semgrep) यह एक **ओपन सोर्स उपकरण** है। #### समर्थित भाषाएँ | श्रेणी | भाषाएँ | | ------------ | ----------------------------------------------------------------------------------------------------- | | GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX | | Beta | Kotlin · Rust | | Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · | #### त्वरित प्रारंभ ```bash # Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli brew install semgrep # Go to your repo code and scan cd repo semgrep scan --config auto ``` आप [**semgrep VSCode Extension**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep) का उपयोग करके VSCode के अंदर निष्कर्ष प्राप्त कर सकते हैं। ### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/) एक इंस्टॉल करने योग्य **मुफ्त संस्करण** है। #### त्वरित प्रारंभ ```bash # Run the paltform in docker docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest # Install cli tool brew install sonar-scanner # Go to localhost:9000 and login with admin:admin or admin:sonar # Generate a local project and then a TOKEN for it # Using the token and from the folder with the repo, scan it cd path/to/repo sonar-scanner \ -Dsonar.projectKey= \ -Dsonar.sources=. \ -Dsonar.host.url=http://localhost:9000 \ -Dsonar.token= ``` ### CodeQL यहाँ एक **स्थापित करने योग्य मुफ्त संस्करण** है लेकिन लाइसेंस के अनुसार आप **केवल ओपन सोर्स परियोजनाओं में मुफ्त codeQL संस्करण का उपयोग कर सकते हैं**। #### Install ```bash # Download your release from https://github.com/github/codeql-action/releases ## Example wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz # Move it to the destination folder mkdir ~/codeql mv codeql-bundle* ~/codeql # Decompress it cd ~/codeql tar -xzvf codeql-bundle-*.tar.gz rm codeql-bundle-*.tar.gz # Add to path echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc # Check it's correctly installed ## Open a new terminal codeql resolve qlpacks #Get paths to QL packs ``` #### Quick Start - डेटाबेस तैयार करें > [!TIP] > पहला काम जो आपको करना है वह है **डेटाबेस तैयार करना** (कोड ट्री बनाना) ताकि बाद में उस पर क्वेरी चलाई जा सकें। - आप codeql को स्वचालित रूप से रिपॉजिटरी की भाषा पहचानने और डेटाबेस बनाने की अनुमति दे सकते हैं। ```bash codeql database create --language # Example codeql database create /path/repo/codeql_db --source-root /path/repo ## DB will be created in /path/repo/codeql_db ``` > [!CAUTION] > यह **आमतौर पर एक त्रुटि को ट्रिगर करेगा** जो कहती है कि एक से अधिक भाषा निर्दिष्ट की गई थी (या स्वचालित रूप से पहचान ली गई थी)। **इसे ठीक करने के लिए अगले विकल्पों की जांच करें!** - आप यह **हाथ से निर्दिष्ट करके** कर सकते हैं **repo** और **भाषा** ([languages की सूची](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create)) ```bash codeql database create --language --source-root # Example codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo ## DB will be created in /path/repo/codeql_db ``` - यदि आपका रिपॉजिटरी **1 से अधिक भाषाओं** का उपयोग कर रहा है, तो आप प्रत्येक भाषा को इंगित करते हुए **प्रत्येक भाषा के लिए 1 DB** भी बना सकते हैं। ```bash export GITHUB_TOKEN=ghp_32849y23hij4... codeql database create --source-root /path/to/repo --db-cluster --language "javascript,python" # Example export GITHUB_TOKEN=ghp_32849y23hij4... codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python" ## DBs will be created in /path/repo/codeql_db/* ``` - आप `codeql` को **सभी भाषाओं** की पहचान करने और प्रत्येक भाषा के लिए एक DB बनाने की अनुमति भी दे सकते हैं। आपको इसे एक **GITHUB_TOKEN** देना होगा। ```bash export GITHUB_TOKEN=ghp_32849y23hij4... codeql database create --db-cluster --source-root # Example export GITHUB_TOKEN=ghp_32849y23hij4... codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo ## DBs will be created in /path/repo/codeql_db/* ``` #### Quick Start - कोड का विश्लेषण करें > [!TIP] > अब अंततः कोड का विश्लेषण करने का समय है याद रखें कि यदि आपने कई भाषाओं का उपयोग किया है, तो **प्रत्येक भाषा के लिए एक DB** उस पथ में बनाया गया होगा जिसे आपने निर्दिष्ट किया था। ```bash # Default analysis codeql database analyze --format= --output= # Example codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif # Specify QL pack to use in the analysis codeql database analyze \ --sarif-category= \ --sarif-add-baseline-file-info \ --format= \ --output=/out/file/path> # Example codeql database analyze /tmp/codeql_db \ javascript-security-extended --sarif-category=javascript \ --sarif-add-baseline-file-info --format=sarif-latest \ --output=/tmp/sec-extended.sarif ``` #### त्वरित प्रारंभ - स्क्रिप्टेड ```bash export GITHUB_TOKEN=ghp_32849y23hij4... export REPO_PATH=/path/to/repo export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results" mkdir -p "$OUTPUT_DIR_PATH" export FINAL_MSG="Results available in: " echo "Creating DB" codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH" for db in `ls "$REPO_PATH/codeql_db"`; do echo "Analyzing $db" codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif" FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ," echo "" done echo $FINAL_MSG ``` आप निष्कर्षों को [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) में या VSCode एक्सटेंशन [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer) का उपयोग करके देख सकते हैं। आप [**VSCode extension**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) का उपयोग करके निष्कर्षों को VSCode के अंदर भी प्राप्त कर सकते हैं। आपको अभी भी मैन्युअल रूप से एक डेटाबेस बनाना होगा, लेकिन फिर आप किसी भी फ़ाइल का चयन कर सकते हैं और `Right Click` -> `CodeQL: Run Queries in Selected Files` पर क्लिक कर सकते हैं। ### [**Snyk**](https://snyk.io/product/snyk-code/) एक **स्थापनीय मुफ्त संस्करण** है। #### त्वरित प्रारंभ ```bash # Install sudo npm install -g snyk # Authenticate (you can use a free account) snyk auth # Test for open source vulns & license issues snyk test [--all-projects] # Test for code vulnerabilities ## This will upload your code and you need to enable this option in: Settings > Snyk Code snyk test code # Test for vulns in images snyk container test [image] # Test for IaC vulns snyk iac test ``` आप [**snyk VSCode Extension**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) का उपयोग करके VSCode के अंदर निष्कर्ष प्राप्त कर सकते हैं। ### [Insider](https://github.com/insidersec/insider) यह **Open Source** है, लेकिन **unmaintained** लगता है। #### Supported Languages Java (Maven और Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, और Javascript (Node.js)। #### Quick Start ```bash # Check the correct release for your environment $ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz $ tar -xf insider_2.1.0_linux_x86_64.tar.gz $ chmod +x insider $ ./insider --tech javascript --target ``` ### [**DeepSource**](https://deepsource.com/pricing) **सार्वजनिक रिपोजिटरी** के लिए मुफ्त। ## NodeJS - **`yarn`** ```bash # Install brew install yarn # Run cd /path/to/repo yarn install yarn audit # In lower versions yarn npm audit # In 2+ versions npm audit ``` - **`pnpm`** ```bash # Install npm install -g pnpm # Run cd /path/to/repo pnpm install pnpm audit ``` - [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Node.js अनुप्रयोगों के लिए स्थैतिक सुरक्षा कोड स्कैनर (SAST) जो [libsast](https://github.com/ajinabraham/libsast) और [semgrep](https://github.com/returntocorp/semgrep) द्वारा संचालित है। ```bash # Install & run docker run -it -p 9090:9090 opensecurity/nodejsscan:latest # Got to localhost:9090 # Upload a zip file with the code ``` - [**RetireJS**](https://github.com/RetireJS/retire.js)**:** Retire.js का लक्ष्य आपको ज्ञात कमजोरियों वाले JS-लाइब्रेरी संस्करणों के उपयोग का पता लगाने में मदद करना है। ```bash # Install npm install -g retire # Run cd /path/to/repo retire --colors ``` ## Electron - [**electronegativity**](https://github.com/doyensec/electronegativity)**:** यह Electron-आधारित अनुप्रयोगों में गलत कॉन्फ़िगरेशन और सुरक्षा एंटी-पैटर्न की पहचान करने के लिए एक उपकरण है। ## Python - [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit एक उपकरण है जिसे Python कोड में सामान्य सुरक्षा मुद्दों को खोजने के लिए डिज़ाइन किया गया है। ऐसा करने के लिए Bandit प्रत्येक फ़ाइल को संसाधित करता है, इससे एक AST बनाता है, और AST नोड्स के खिलाफ उपयुक्त प्लगइन्स चलाता है। एक बार जब Bandit सभी फ़ाइलों को स्कैन कर लेता है, तो यह एक रिपोर्ट उत्पन्न करता है। ```bash # Install pip3 install bandit # Run bandit -r ``` - [**safety**](https://github.com/pyupio/safety): Safety पायथन निर्भरताओं के लिए ज्ञात सुरक्षा कमजोरियों की जांच करता है और पहचान की गई कमजोरियों के लिए उचित सुधारों का सुझाव देता है। Safety को डेवलपर मशीनों, CI/CD पाइपलाइनों और उत्पादन प्रणालियों पर चलाया जा सकता है। ```bash # Install pip install safety # Run safety check ``` - [~~**Pyt**~~](https://github.com/python-security/pyt): अप्रबंधित। ## .NET ```bash # dnSpy https://github.com/0xd4d/dnSpy # .NET compilation C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs ``` ## RUST ```bash # Install cargo install cargo-audit # Run cargo audit #Update the Advisory Database cargo audit fetch ``` ## जावा ```bash # JD-Gui https://github.com/java-decompiler/jd-gui # Java compilation step-by-step javac -source 1.8 -target 1.8 test.java mkdir META-INF echo "Main-Class: test" > META-INF/MANIFEST.MF jar cmvf META-INF/MANIFEST.MF test.jar test.class ``` | कार्य | कमांड | | --------------- | --------------------------------------------------------- | | जार निष्पादित करें | java -jar \[jar] | | जार अनज़िप करें | unzip -d \[output directory] \[jar] | | जार बनाएं | jar -cmf META-INF/MANIFEST.MF \[output jar] \* | | बेस64 SHA256 | sha256sum \[file] \| cut -d' ' -f1 \| xxd -r -p \| base64 | | साइनिंग हटाएं | rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA | | जार से हटाएं | zip -d \[jar] \[file to remove] | | क्लास को डिकंपाइल करें | procyon -o . \[path to class] | | जार को डिकंपाइल करें | procyon -jar \[jar] -o \[output directory] | | क्लास को संकलित करें | javac \[path to .java file] | ## आगे बढ़ें ```bash https://github.com/securego/gosec ``` ## PHP [Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) और [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html)। ### Wordpress Plugins [https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/) ## Solidity - [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium) ## JavaScript ### Discovery 1. Burp: - Spider और सामग्री खोजें - Sitemap > फ़िल्टर - Sitemap > डोमेन पर राइट-क्लिक > Engagement tools > स्क्रिप्ट खोजें 2. [WaybackURLs](https://github.com/tomnomnom/waybackurls): - `waybackurls |grep -i "\.js" |sort -u` ### Static Analysis #### Unminimize/Beautify/Prettify - [https://prettier.io/playground/](https://prettier.io/playground/) - [https://beautifier.io/](https://beautifier.io/) - 'Deobfuscate/Unpack' में नीचे उल्लेखित कुछ उपकरणों को भी देखें। #### Deobfuscate/Unpack **Note**: इसे पूरी तरह से deobfuscate करना संभव नहीं हो सकता। 1. .map फ़ाइलें खोजें और उपयोग करें: - यदि .map फ़ाइलें उजागर हैं, तो उन्हें आसानी से deobfuscate करने के लिए उपयोग किया जा सकता है। - सामान्यतः, foo.js.map foo.js के लिए मैप करता है। उन्हें मैन्युअल रूप से खोजें। - [JS Miner](https://github.com/PortSwigger/js-miner) का उपयोग करके उन्हें खोजें। - सुनिश्चित करें कि सक्रिय स्कैन किया गया है। - '[Tips/Notes](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)' पढ़ें। - यदि मिल जाए, तो deobfuscate करने के लिए [Maximize](https://www.npmjs.com/package/maximize) का उपयोग करें। 2. बिना .map फ़ाइलों के, JSnice का प्रयास करें: - संदर्भ: [http://jsnice.org/](http://jsnice.org/) & [https://www.npmjs.com/package/jsnice](https://www.npmjs.com/package/jsnice) - टिप्स: - यदि jsnice.org का उपयोग कर रहे हैं, तो "Nicify JavaScript" बटन के बगल में विकल्प बटन पर क्लिक करें, और कोड को टिप्पणियों से भरा हुआ कम करने के लिए "Infer types" को अनचेक करें। - सुनिश्चित करें कि आप स्क्रिप्ट से पहले कोई खाली पंक्तियाँ नहीं छोड़ते, क्योंकि यह deobfuscation प्रक्रिया को प्रभावित कर सकता है और गलत परिणाम दे सकता है। 3. JSNice के कुछ आधुनिक विकल्पों के लिए, आप निम्नलिखित पर विचार कर सकते हैं: - [https://github.com/pionxzh/wakaru](https://github.com/pionxzh/wakaru) - > Javascript decompiler, unpacker और unminify toolkit Wakaru आधुनिक फ्रंटेंड के लिए Javascript decompiler है। यह एक बंडल और ट्रांसपाइल किए गए स्रोत से मूल कोड वापस लाता है। - [https://github.com/j4k0xb/webcrack](https://github.com/j4k0xb/webcrack) - > obfuscator.io को deobfuscate करें, unminify करें और बंडल किए गए जावास्क्रिप्ट को अनपैक करें। - [https://github.com/jehna/humanify](https://github.com/jehna/humanify) - > ChatGPT का उपयोग करके Javascript कोड को un-minify करें। यह उपकरण बड़े भाषा मॉडल (जैसे ChatGPT और llama2) और अन्य उपकरणों का उपयोग करता है ताकि Javascript कोड को un-minify किया जा सके। ध्यान दें कि LLMs कोई संरचनात्मक परिवर्तन नहीं करते - वे केवल वेरिएबल और फ़ंक्शंस के नाम बदलने के लिए संकेत प्रदान करते हैं। भारी उठाने का काम Babel द्वारा AST स्तर पर किया जाता है ताकि कोड 1-1 समकक्ष बना रहे। - [https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html](https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html) - > Javascript वेरिएबल नाम minification को उलटने के लिए LLMs का उपयोग करना। 3. `console.log()` का उपयोग करें; - अंत में लौटने वाले मान को खोजें और इसे `console.log();` में बदलें ताकि deobfuscated js को निष्पादित करने के बजाय प्रिंट किया जाए। - फिर, संशोधित (और अभी भी obfuscated) js को [https://jsconsole.com/](https://jsconsole.com/) में पेस्ट करें ताकि deobfuscated js को कंसोल में लॉग किया जा सके। - अंत में, deobfuscated आउटपुट को [https://prettier.io/playground/](https://prettier.io/playground/) में पेस्ट करें ताकि इसे विश्लेषण के लिए सुंदर बनाया जा सके। - **Note**: यदि आप अभी भी पैक (लेकिन अलग) js देख रहे हैं, तो यह पुनरावृत्त रूप से पैक किया जा सकता है। प्रक्रिया को दोहराएं। #### References - [YouTube: DAST - Javascript Dynamic Analysis](https://www.youtube.com/watch?v=_v8r_t4v6hQ) - [https://blog.nvisium.com/angular-for-pentesters-part-1](https://web.archive.org/web/20221226054137/https://blog.nvisium.com/angular-for-pentesters-part-1) - [https://blog.nvisium.com/angular-for-pentesters-part-2](https://web.archive.org/web/20230204012439/https://blog.nvisium.com/angular-for-pentesters-part-2) - [devalias](https://twitter.com/_devalias)'s [GitHub Gists](https://gist.github.com/0xdevalias): - [Deobfuscating / Unminifying Obfuscated Web App Code](https://gist.github.com/0xdevalias/d8b743efb82c0e9406fc69da0d6c6581#deobfuscating--unminifying-obfuscated-web-app-code) - [Reverse Engineering Webpack Apps](https://gist.github.com/0xdevalias/8c621c5d09d780b1d321bfdb86d67cdd#reverse-engineering-webpack-apps) - [etc](https://gist.github.com/search?q=user:0xdevalias+javascript) #### Tools - [https://portswigger.net/burp/documentation/desktop/tools/dom-invader](https://portswigger.net/burp/documentation/desktop/tools/dom-invader) #### Less Used References - [https://cyberchef.org/](https://cyberchef.org/) - [https://olajs.com/javascript-prettifier](https://olajs.com/javascript-prettifier) - [https://jshint.com/](https://jshint.com/) - [https://github.com/jshint/jshint/](https://github.com/jshint/jshint/) {{#include ../../banners/hacktricks-training.md}}