maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/pentesting-web/code-review-tools.md

417 lines
21 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Огляд вихідного коду / Інструменти SAST
{{#include ../../banners/hacktricks-training.md}}
## Керівництво та списки інструментів
- [**https://owasp.org/www-community/Source_Code_Analysis_Tools**](https://owasp.org/www-community/Source_Code_Analysis_Tools)
- [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis)
## Інструменти для кількох мов
### [Naxus - AI-Gents](https://www.naxusai.com/)
Є **безкоштовний пакет для перегляду PR**.
### [**Semgrep**](https://github.com/returntocorp/semgrep)
Це **інструмент з відкритим кодом**.
#### Підтримувані мови
| Категорія | Мови |
| ------------ | ----------------------------------------------------------------------------------------------------- |
| GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta | Kotlin · Rust |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · |
#### Швидкий старт
```bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep
# Go to your repo code and scan
cd repo
semgrep scan --config auto
```
Ви також можете використовувати [**semgrep VSCode Extension**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep) для отримання результатів всередині VSCode.
### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/)
Існує встановлювана **безкоштовна версія**.
#### Швидкий старт
```bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner
# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it
# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
```
### CodeQL
Є **безкоштовна версія для встановлення**, але відповідно до ліцензії ви можете **використовувати безкоштовну версію codeQL лише в проектах з відкритим кодом**.
#### Встановлення
```bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz
# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql
# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz
# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc
# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
```
#### Quick Start - Підготовка бази даних
> [!TIP]
> Перше, що вам потрібно зробити, це **підготувати базу даних** (створити дерево коду), щоб пізніше запити виконувалися над нею.
- Ви можете дозволити codeql автоматично визначити мову репозиторію та створити базу даних.
```bash
codeql database create <database> --language <language>
# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
> [!CAUTION]
> Це **зазвичай викликає помилку**, що говорить про те, що було вказано більше ніж одну мову (або автоматично виявлено). **Перевірте наступні опції**, щоб виправити це!
- Ви можете зробити це **вручну, вказуючи** **репозиторій** та **мову** ([список мов](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create))
```bash
codeql database create <database> --language <language> --source-root </path/to/repo>
# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
- Якщо ваш репозиторій використовує **більше ніж 1 мову**, ви також можете створити **1 БД на мову**, вказуючи кожну мову.
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
```
- Ви також можете дозволити `codeql` **виявити всі мови** для вас і створити базу даних для кожної мови. Вам потрібно надати **GITHUB_TOKEN**.
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
```
#### Quick Start - Аналіз коду
> [!TIP]
> Тепер нарешті час проаналізувати код
Пам'ятайте, що якщо ви використовували кілька мов, **для кожної мови** буде створена база даних у вказаному вами шляху.
```bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif
# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
```
#### Швидкий старт - Скриптовий
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "
echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done
echo $FINAL_MSG
```
Ви можете візуалізувати результати в [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) або за допомогою розширення VSCode [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer).
Ви також можете використовувати [**VSCode extension**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) для отримання результатів всередині VSCode. Вам все ще потрібно буде створити базу даних вручну, але потім ви можете вибрати будь-які файли та натиснути `Right Click` -> `CodeQL: Run Queries in Selected Files`
### [**Snyk**](https://snyk.io/product/snyk-code/)
Є **безкоштовна версія для встановлення**.
#### Швидкий старт
```bash
# Install
sudo npm install -g snyk
# Authenticate (you can use a free account)
snyk auth
# Test for open source vulns & license issues
snyk test [--all-projects]
# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code
# Test for vulns in images
snyk container test [image]
# Test for IaC vulns
snyk iac test
```
Ви також можете використовувати [**snyk VSCode Extension**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) для отримання результатів всередині VSCode.
### [Insider](https://github.com/insidersec/insider)
Це **Open Source**, але виглядає **непідтримуваним**.
#### Підтримувані мови
Java (Maven та Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, та Javascript (Node.js).
#### Швидкий старт
```bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript --target <projectfolder>
```
### [**DeepSource**](https://deepsource.com/pricing)
Безкоштовно для **публічних репозиторіїв**.
## NodeJS
- **`yarn`**
```bash
# Install
brew install yarn
# Run
cd /path/to/repo
yarn install
yarn audit # In lower versions
yarn npm audit # In 2+ versions
npm audit
```
- **`pnpm`**
```bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm install
pnpm audit
```
- [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Статичний сканер безпеки коду (SAST) для додатків Node.js, що працює на базі [libsast](https://github.com/ajinabraham/libsast) та [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
- [**RetireJS**](https://github.com/RetireJS/retire.js)**:** Мета Retire.js полягає в тому, щоб допомогти вам виявити використання версій JS-бібліотек з відомими вразливостями.
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron
- [**electronegativity**](https://github.com/doyensec/electronegativity)**:** Це інструмент для виявлення неправильних налаштувань та антипатернів безпеки в додатках на базі Electron.
## Python
- [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit - це інструмент, розроблений для виявлення поширених проблем безпеки в коді Python. Для цього Bandit обробляє кожен файл, створює AST з нього та запускає відповідні плагіни проти вузлів AST. Після завершення сканування всіх файлів Bandit генерує звіт.
```bash
# Install
pip3 install bandit
# Run
bandit -r <path to folder>
```
- [**safety**](https://github.com/pyupio/safety): Safety перевіряє залежності Python на відомі вразливості безпеки та пропонує відповідні заходи для виявлених вразливостей. Safety можна запускати на машинах розробників, у CI/CD конвеєрах та на продуктивних системах.
```bash
# Install
pip install safety
# Run
safety check
```
- [~~**Pyt**~~](https://github.com/python-security/pyt): Не підтримується.
## .NET
```bash
# dnSpy
https://github.com/0xd4d/dnSpy
# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## RUST
```bash
# Install
cargo install cargo-audit
# Run
cargo audit
#Update the Advisory Database
cargo audit fetch
```
## Java
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui
# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
```
| Завдання | Команда |
| ---------------- | -------------------------------------------------------- |
| Виконати Jar | java -jar \[jar] |
| Розпакувати Jar | unzip -d \[output directory] \[jar] |
| Створити Jar | jar -cmf META-INF/MANIFEST.MF \[output jar] \* |
| Base64 SHA256 | sha256sum \[file] \| cut -d' ' -f1 \| xxd -r -p \| base64 |
| Видалити підпис | rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA |
| Видалити з Jar | zip -d \[jar] \[file to remove] |
| Декомпілювати клас | procyon -o . \[path to class] |
| Декомпілювати Jar | procyon -jar \[jar] -o \[output directory] |
| Скомпілювати клас | javac \[path to .java file] |
## Перейти
```bash
https://github.com/securego/gosec
```
## PHP
[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) та [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html).
### Wordpress Плагіни
[https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/)
## Solidity
- [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium)
## JavaScript
### Виявлення
1. Burp:
- Spider та виявлення контенту
- Sitemap > фільтр
- Sitemap > клацніть правою кнопкою на домені > Інструменти залучення > Знайти скрипти
2. [WaybackURLs](https://github.com/tomnomnom/waybackurls):
- `waybackurls <domain> |grep -i "\.js" |sort -u`
### Статичний аналіз
#### Розпакування/Краса/Прикрашання
- [https://prettier.io/playground/](https://prettier.io/playground/)
- [https://beautifier.io/](https://beautifier.io/)
- Дивіться деякі з інструментів, згаданих у 'Deobfuscate/Unpack' нижче.
#### Деобфускація/Розпакування
**Примітка**: Можливо, не вдасться повністю деобфускувати.
1. Знайдіть та використовуйте .map файли:
- Якщо .map файли відкриті, їх можна використовувати для легкого деобфускування.
- Зазвичай, foo.js.map відповідає foo.js. Шукайте їх вручну.
- Використовуйте [JS Miner](https://github.com/PortSwigger/js-miner) для їх пошуку.
- Переконайтеся, що активне сканування проводиться.
- Читайте '[Tips/Notes](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)'
- Якщо знайдено, використовуйте [Maximize](https://www.npmjs.com/package/maximize) для деобфускації.
2. Без .map файлів спробуйте JSnice:
- Посилання: [http://jsnice.org/](http://jsnice.org/) & [https://www.npmjs.com/package/jsnice](https://www.npmjs.com/package/jsnice)
- Поради:
- Якщо використовуєте jsnice.org, натисніть на кнопку опцій поруч із кнопкою "Nicify JavaScript" і зніміть вибір з "Infer types", щоб зменшити захаращення коду коментарями.
- Переконайтеся, що ви не залишаєте жодних порожніх рядків перед скриптом, оскільки це може вплинути на процес деобфускації та дати неточні результати.
3. Для деяких сучасних альтернатив JSNice, ви можете розглянути наступні:
- [https://github.com/pionxzh/wakaru](https://github.com/pionxzh/wakaru)
- > Javascript декомпіллятор, розпаковувач та інструмент для розмінювання Wakaru є Javascript декомпіллятором для сучасного фронтенду. Він відновлює оригінальний код з упакованого та транспільованого джерела.
- [https://github.com/j4k0xb/webcrack](https://github.com/j4k0xb/webcrack)
- > Деобфускація obfuscator.io, розмінювання та розпакування упакованого javascript
- [https://github.com/jehna/humanify](https://github.com/jehna/humanify)
- > Розмінювання Javascript коду за допомогою ChatGPT Цей інструмент використовує великі мовні моделі (як ChatGPT та llama2) та інші інструменти для розмінювання Javascript коду. Зверніть увагу, що LLM не виконують жодних структурних змін вони лише надають підказки для перейменування змінних та функцій. Важка робота виконується Babel на рівні AST, щоб забезпечити збереження коду в еквівалентному вигляді 1-1.
- [https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html](https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html)
- > Використання LLM для скасування мінімізації імен змінних JavaScript
3. Використовуйте `console.log()`;
- Знайдіть значення повернення в кінці та змініть його на `console.log(<packerReturnVariable>);`, щоб деобфускований js виводився замість виконання.
- Потім вставте модифікований (і все ще обфускований) js у [https://jsconsole.com/](https://jsconsole.com/), щоб побачити деобфускований js, виведений у консолі.
- Нарешті, вставте деобфускований вихід у [https://prettier.io/playground/](https://prettier.io/playground/), щоб прикрасити його для аналізу.
- **Примітка**: Якщо ви все ще бачите упакований (але інший) js, можливо, він упакований рекурсивно. Повторіть процес.
#### Посилання
- [YouTube: DAST - Javascript Dynamic Analysis](https://www.youtube.com/watch?v=_v8r_t4v6hQ)
- [https://blog.nvisium.com/angular-for-pentesters-part-1](https://web.archive.org/web/20221226054137/https://blog.nvisium.com/angular-for-pentesters-part-1)
- [https://blog.nvisium.com/angular-for-pentesters-part-2](https://web.archive.org/web/20230204012439/https://blog.nvisium.com/angular-for-pentesters-part-2)
- [devalias](https://twitter.com/_devalias)'s [GitHub Gists](https://gist.github.com/0xdevalias):
- [Деобфускація / Розмінювання обфускованого коду веб-додатка](https://gist.github.com/0xdevalias/d8b743efb82c0e9406fc69da0d6c6581#deobfuscating--unminifying-obfuscated-web-app-code)
- [Реверс інженерія Webpack додатків](https://gist.github.com/0xdevalias/8c621c5d09d780b1d321bfdb86d67cdd#reverse-engineering-webpack-apps)
- [тощо](https://gist.github.com/search?q=user:0xdevalias+javascript)
#### Інструменти
- [https://portswigger.net/burp/documentation/desktop/tools/dom-invader](https://portswigger.net/burp/documentation/desktop/tools/dom-invader)
#### Менш використовувані посилання
- [https://cyberchef.org/](https://cyberchef.org/)
- [https://olajs.com/javascript-prettifier](https://olajs.com/javascript-prettifier)
- [https://jshint.com/](https://jshint.com/)
- [https://github.com/jshint/jshint/](https://github.com/jshint/jshint/)
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink