* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
También puedes usar la [**extensión de semgrep para VSCode**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep) para obtener los resultados dentro de VSCode.
Esto **suele desencadenar un error** que indica que se especificaron más de un lenguaje (o se detectaron automáticamente). ¡**Verifica las siguientes opciones** para solucionarlo!
{% endhint %}
* Puedes hacer esto **indicando manualmente** el **repositorio** y el **lenguaje** ([lista de lenguajes](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create))
* También puedes permitir que `codeql`**identifique todos los lenguajes** por ti y cree una base de datos por cada lenguaje. Necesitas proporcionarle un **GITHUB\_TOKEN**.
Puedes visualizar los hallazgos en [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) o utilizando la extensión de VSCode [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer).
También puedes utilizar la [**extensión de VSCode**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) para obtener los hallazgos dentro de VSCode. Aún necesitarás crear una base de datos manualmente, pero luego puedes seleccionar cualquier archivo y hacer clic en `Click derecho` -> `CodeQL: Run Queries in Selected Files`
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code
# Test for vulns in images
snyk container test [image]
# Test for IaC vulns
snyk iac test
```
También puedes usar la [**Extensión de Snyk para VSCode**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) para obtener resultados dentro de VSCode.
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Escáner estático de código de seguridad (SAST) para aplicaciones Node.js impulsado por [libsast](https://github.com/ajinabraham/libsast) y [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
* [**RetireJS**](https://github.com/RetireJS/retire.js)**:** El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron
* [**electronegativity**](https://github.com/doyensec/electronegativity)**:** Es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.
## Python
* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit es una herramienta diseñada para encontrar problemas de seguridad comunes en el código de Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta complementos apropiados contra los nodos AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.
```bash
# Install
pip3 install bandit
# Run
bandit -r <pathtofolder>
```
* [**safety**](https://github.com/pyupio/safety): Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las soluciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrollo, en tuberías de CI/CD y en sistemas de producción.
```bash
# Install
pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): Sin mantenimiento
Java es un lenguaje de programación de alto nivel y orientado a objetos ampliamente utilizado en el desarrollo de aplicaciones web. A continuación se presentan algunas herramientas de revisión de código que pueden ser útiles durante el proceso de pentesting de aplicaciones web escritas en Java.
FindBugs es una herramienta de análisis estático de código que busca defectos comunes en el código Java. Puede detectar problemas como el uso incorrecto de variables, condiciones de carrera y errores de programación. FindBugs proporciona informes detallados sobre los problemas encontrados, lo que facilita su corrección.
PMD es otra herramienta de análisis estático de código que se utiliza para buscar problemas en el código Java. Puede detectar problemas como código duplicado, variables no utilizadas y malas prácticas de programación. PMD también proporciona informes detallados y sugerencias para corregir los problemas encontrados.
Checkstyle es una herramienta de revisión de código que se utiliza para garantizar que el código Java cumpla con ciertas convenciones de codificación. Puede verificar el estilo de codificación, la estructura del código y la calidad del código. Checkstyle proporciona informes detallados sobre las violaciones encontradas y sugiere formas de corregirlas.
SonarQube es una plataforma de análisis de código que se utiliza para evaluar la calidad del código Java. Proporciona métricas de calidad del código, como la complejidad ciclomática, la duplicación de código y la cobertura de pruebas. SonarQube también puede detectar problemas de seguridad en el código Java, como vulnerabilidades conocidas y posibles puntos débiles.
Estas herramientas de revisión de código pueden ayudar a identificar posibles vulnerabilidades y problemas de seguridad en las aplicaciones web escritas en Java. Es importante utilizar estas herramientas durante el proceso de pentesting para garantizar la seguridad y la calidad del código.
[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) y [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html).
**Nota**: Es posible que no sea posible desofuscar completamente.
1. Encontrar y usar archivos .map:
* Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
* Comúnmente, foo.js.map se mapea a foo.js. Búscalos manualmente.
* Usa [JS Miner](https://github.com/PortSwigger/js-miner) para buscarlos.
* Asegúrate de realizar un escaneo activo.
* Lee '[Consejos/Notas](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)'
* Si se encuentran, usa [Maximize](https://www.npmjs.com/package/maximize) para desofuscar.
2. Sin archivos .map, prueba con JSnice:
* Referencias: http://jsnice.org/ y https://www.npmjs.com/package/jsnice
* Consejos:
* Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript" y desmarca "Infer types" para reducir el desorden en el código con comentarios.
* Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.
3. Usa console.log();
* Encuentra el valor de retorno al final y cámbialo por `console.log(<packerReturnVariable>);` para que se imprima el JavaScript desofuscado en lugar de ejecutarse.
* Luego, pega el JavaScript modificado (y aún ofuscado) en https://jsconsole.com/ para ver el JavaScript desofuscado registrado en la consola.
* Finalmente, pega la salida desofuscada en https://prettier.io/playground/ para embellecerla y analizarla.
* **Nota**: Si sigues viendo JavaScript empaquetado (pero diferente), puede estar empaquetado de forma recursiva. Repite el proceso.
* Patrones de [RegHex](https://github.com/l4yton/RegHex)
* Patrones de [gf](https://github.com/tomnomnom/gf/tree/master/examples)
* Busca patrones relevantes en el diccionario:
* pass, user, admin
* auth, login, sign, challenge, 2fa
* key, apikey, api\_key, api-key, jwt, token
* secret, security, secure
* ...
* Revisión manual
* Si se encuentra una clave de API, verifica aquí la sintaxis de uso potencial: https://github.com/streaak/keyhacks.
* Funciones vulnerables
* InnerHTML() - Si encuentras esto, significa que existe una posibilidad potencial de XSS si no se realiza una sanitización adecuada. Incluso si tu carga útil está sanitizada, no te preocupes. Rastrea el código para averiguar dónde se realiza la sanitización. Estúdialo e intenta evitar la sanitización.
* Postmessage() - Si has leído mi publicación anterior (https://medium.com/techiepedia/what-are-sop-cors-and-ways-to-exploit-it-62a5e02100dc), te darás cuenta de que Postmessage() podría llevar a un posible problema de CORS. Si el segundo parámetro de la función está configurado como \*, eres afortunado. Consulta mi publicación anterior para comprender más sobre el mecanismo detrás de esto.
* String.prototype.search() - Esta función parece normal. ¿Por qué sería una función peligrosa? Bueno, es porque algunos desarrolladores la usan para buscar la aparición de una cadena dentro de otra cadena. Sin embargo, "." se trata como comodín en esta función. Entonces, si esta función se usa como verificación de sanitización, simplemente puedes evitarla ingresando ".". Consulta el informe de Filedescryptor en hackerone: https://hackerone.com/reports/129873
* Endpoints y parámetros
* Usa [LinkFinder](https://github.com/GerbenJavado/LinkFinder) y [JS Miner](https://github.com/PortSwigger/js-miner).
* Bibliotecas y dependencias vulnerables
* Usa [Retire.js](https://retirejs.github.io/retire.js/) y [NPM](https://snyk.io/advisor/) (desplázate hacia abajo hasta la sección de seguridad > enlace de todas las versiones).
* URLs de la nube
* Usa [JS Miner](https://github.com/PortSwigger/js-miner).
* Subdominios
* Usa [JS Miner](https://github.com/PortSwigger/js-miner).
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**merchandising oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de Telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).