hacktricks/network-services-pentesting/pentesting-web/code-review-tools.md

458 lines
17 KiB
Markdown
Raw Normal View History

# Herramientas de Revisión de Código Fuente / SAST
2023-06-05 18:33:24 +00:00
<details>
<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2023-06-05 18:33:24 +00:00
Otras formas de apoyar a HackTricks:
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
2023-06-05 18:33:24 +00:00
</details>
2023-06-05 18:33:24 +00:00
## Guía y Listas de herramientas
2023-06-05 18:33:24 +00:00
* [**https://owasp.org/www-community/Source\_Code\_Analysis\_Tools**](https://owasp.org/www-community/Source\_Code\_Analysis\_Tools)
* [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis)
2023-06-05 18:33:24 +00:00
## Herramientas Multi-Lenguaje
2023-06-05 18:33:24 +00:00
### [Naxus - AI-Gents](https://www.naxusai.com/)
2023-06-05 18:33:24 +00:00
Hay un **paquete gratuito para revisar PRs**.
2023-06-05 18:33:24 +00:00
### [**Semgrep**](https://github.com/returntocorp/semgrep)
Es una **herramienta de código abierto**.
#### Lenguajes Soportados
| Categoría | Lenguajes |
| ------------ | ----------------------------------------------------------------------------------------------------- |
| GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta | Kotlin · Rust |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · |
#### Inicio Rápido
{% code overflow="wrap" %}
2023-06-05 18:33:24 +00:00
```bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep
# Go to your repo code and scan
cd repo
semgrep scan --config auto
2023-06-05 18:33:24 +00:00
```
{% endcode %}
2023-06-05 18:33:24 +00:00
También puedes usar la [**extensión de VSCode de semgrep**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep) para obtener los hallazgos dentro de VSCode.
2023-06-05 18:33:24 +00:00
### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/)
2023-06-05 18:33:24 +00:00
Hay una **versión gratuita** instalable.
2023-06-05 18:33:24 +00:00
#### Inicio rápido
{% code overflow="wrap" %}
```bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner
# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it
# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
```
{% endcode %}
### CodeQL
Existe una **versión gratuita instalable**, pero según la licencia solo puedes **utilizar la versión gratuita de CodeQL en proyectos de código abierto**.
#### Instalación
2023-06-05 18:33:24 +00:00
{% code overflow="wrap" %}
```bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz
2023-06-05 18:33:24 +00:00
# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql
# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz
# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc
# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
2023-06-05 18:33:24 +00:00
```
{% endcode %}
#### Inicio rápido - Preparar la base de datos
{% hint style="success" %}
Lo primero que debes hacer es **preparar la base de datos** (crear el árbol de código) para que luego las consultas se ejecuten sobre ella.
{% endhint %}
* Puedes permitir que codeql identifique automáticamente el lenguaje del repositorio y cree la base de datos
{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language>
# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}
{% hint style="danger" %}
Esto **suele desencadenar un error** que indica que se especificaron más de un idioma (o se detectaron automáticamente). ¡**Verifica las siguientes opciones** para solucionar esto!
{% endhint %}
* Puedes hacer esto **indicando manualmente** el **repositorio** y el **idioma** ([lista de idiomas](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create))
{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language> --source-root </path/to/repo>
# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}
* Si tu repositorio está utilizando **más de 1 lenguaje**, también puedes crear **1 base de datos por lenguaje** indicando cada lenguaje.
{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}
* También puedes permitir que `codeql` **identifique todos los lenguajes** por ti y cree una base de datos por lenguaje. Necesitas proporcionarle un **GITHUB\_TOKEN**.
{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}
#### Inicio rápido - Analizar el código
{% hint style="success" %}
Ahora es finalmente el momento de analizar el código
{% endhint %}
Recuerda que si utilizaste varios lenguajes, **se habría creado una BD por lenguaje** en la ruta que especificaste.
{% code overflow="wrap" %}
```bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif
# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
2023-06-05 18:33:24 +00:00
```
{% endcode %}
#### Inicio rápido - Scripted
{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "
echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done
echo $FINAL_MSG
```
{% endcode %}
Puedes visualizar los hallazgos en [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) o utilizando la extensión de VSCode [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer).
También puedes utilizar la [**extensión de VSCode**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) para obtener los hallazgos dentro de VSCode. Aún necesitarás crear una base de datos manualmente, pero luego puedes seleccionar cualquier archivo y hacer clic en `Click Derecho` -> `CodeQL: Run Queries in Selected Files`
### [**Snyk**](https://snyk.io/product/snyk-code/)
Hay una **versión gratuita instalable**.
#### Inicio Rápido
```bash
# Install
sudo npm install -g snyk
# Authenticate (you can use a free account)
snyk auth
# Test for open source vulns & license issues
snyk test [--all-projects]
# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code
# Test for vulns in images
snyk container test [image]
# Test for IaC vulns
snyk iac test
```
También puedes usar la [**extensión de Snyk para VSCode**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) para obtener resultados dentro de VSCode.
2023-06-05 18:33:24 +00:00
### [Insider](https://github.com/insidersec/insider)
2023-06-05 18:33:24 +00:00
Es **Open Source**, pero parece **no estar mantenido**.
2023-06-05 18:33:24 +00:00
#### Lenguajes Soportados
Java (Maven y Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, y Javascript (Node.js).
#### Inicio Rápido
2023-06-05 18:33:24 +00:00
```bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript --target <projectfolder>
2023-06-05 18:33:24 +00:00
```
### [**DeepSource**](https://deepsource.com/pricing)&#x20;
Gratis para **repositorios públicos**.
## NodeJS
2023-06-05 18:33:24 +00:00
* **`yarn`**
```bash
# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit
```
* **`pnpm`**
```bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
```
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Escáner estático de código de seguridad (SAST) para aplicaciones Node.js impulsado por [libsast](https://github.com/ajinabraham/libsast) y [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
* [**RetireJS**](https://github.com/RetireJS/retire.js)**:** El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron
* [**electronegativity**](https://github.com/doyensec/electronegativity)**:** Es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.
## Python
* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit es una herramienta diseñada para encontrar problemas de seguridad comunes en código Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta complementos apropiados contra los nodos AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.
```bash
# Install
pip3 install bandit
# Run
bandit -r <path to folder>
```
* [**safety**](https://github.com/pyupio/safety): Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las correcciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrolladores, en tuberías CI/CD y en sistemas de producción.
```bash
# Install
pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): Sin mantenimiento.
## .NET
2023-06-05 18:33:24 +00:00
```bash
# dnSpy
https://github.com/0xd4d/dnSpy
# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## RUST
```bash
# Install
cargo install cargo-audit
# Run
cargo audit
#Update the Advisory Database
cargo audit fetch
```
2023-06-05 18:33:24 +00:00
## Java
### FindBugs
FindBugs es una herramienta de análisis estático de código para encontrar posibles errores en el código Java.
### PMD
PMD es otra herramienta de análisis estático de código que busca posibles problemas en el código Java, como código muerto, variables no utilizadas y más.
### Checkstyle
Checkstyle es una herramienta que ayuda a garantizar que el código Java cumpla con un conjunto de reglas de codificación predefinidas.
2023-06-05 18:33:24 +00:00
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui
# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
```
| Tarea | Comando |
| --------------- | --------------------------------------------------------- |
| Ejecutar Jar | java -jar \[jar] |
| Descomprimir Jar| unzip -d \[directorio de salida] \[jar] |
| Crear Jar | jar -cmf META-INF/MANIFEST.MF \[jar de salida] \* |
| Base64 SHA256 | sha256sum \[archivo] \| cut -d' ' -f1 \| xxd -r -p \| base64 |
| Eliminar Firma | rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA |
| Eliminar de Jar | zip -d \[jar] \[archivo a eliminar] |
| Descompilar clase | procyon -o . \[ruta de la clase] |
| Descompilar Jar | procyon -jar \[jar] -o \[directorio de salida] |
| Compilar clase | javac \[ruta al archivo .java] |
2023-06-05 18:33:24 +00:00
## Go
```bash
https://github.com/securego/gosec
```
## PHP
[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) y [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html).
### Plugins de Wordpress
[https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/)
## Solidity
* [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium)
## JavaScript
2023-06-05 18:33:24 +00:00
### Descubrimiento
2023-06-05 18:33:24 +00:00
1. Burp:
* Spider y descubrir contenido
* Sitemap > filtro
* Sitemap > clic derecho en el dominio > Herramientas de compromiso > Encontrar scripts
2. [WaybackURLs](https://github.com/tomnomnom/waybackurls):
* `waybackurls <dominio> |grep -i "\.js" |sort -u`
### Análisis Estático
#### Desminimizar/Embellecer
* [https://prettier.io/playground/](https://prettier.io/playground/)
* [https://beautifier.io/](https://beautifier.io/)
#### Desofuscar/Desempaquetar
**Nota**: Puede que no sea posible desofuscar completamente.
1. Encontrar y usar archivos .map:
* Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
* Comúnmente, foo.js.map mapea a foo.js. Búscalos manualmente.
* Usa [JS Miner](https://github.com/PortSwigger/js-miner) para buscarlos.
* Asegúrate de realizar un escaneo activo.
* Lee '[Consejos/Notas](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)'
* Si los encuentras, usa [Maximize](https://www.npmjs.com/package/maximize) para desofuscar.
2. Sin archivos .map, prueba JSnice:
* Referencias: http://jsnice.org/ y https://www.npmjs.com/package/jsnice
* Consejos:
* Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript" y deselecciona "Infer types" para reducir el desorden en el código con comentarios.
* Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.
3. Usa console.log();
* Encuentra el valor de retorno al final y cámbialo a `console.log(<variableDeRetornoDelEmpaquetador>);` para que se imprima el js desofuscado en lugar de ejecutarse.
* Luego, pega el js modificado (y aún ofuscado) en https://jsconsole.com/ para ver el js desofuscado registrado en la consola.
* Finalmente, pega la salida desofuscada en https://prettier.io/playground/ para embellecerla para el análisis.
* **Nota**: Si sigues viendo js empaquetado (pero diferente), puede estar empaquetado de forma recursiva. Repite el proceso.
Referencias
* https://www.youtube.com/watch?v=_v8r_t4v6hQ
* https://blog.nvisium.com/angular-for-pentesters-part-1
* https://blog.nvisium.com/angular-for-pentesters-part-2
Herramientas
* https://portswigger.net/burp/documentation/desktop/tools/dom-invader
2023-06-05 18:33:24 +00:00
#### Referencias Menos Utilizadas
* https://cyberchef.org/
* https://olajs.com/javascript-prettifier
* https://jshint.com/
* https://github.com/jshint/jshint/