hacktricks/network-services-pentesting/pentesting-web/code-review-tools.md

# Revisión de Código Fuente / Herramientas SAST

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Orientación y Listas de herramientas

* [**https://owasp.org/www-community/Source\_Code\_Analysis\_Tools**](https://owasp.org/www-community/Source\_Code\_Analysis\_Tools)
* [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis)

## Herramientas Multi-Idioma

### [Naxus - AI-Gents](https://www.naxusai.com/)

Hay un **paquete gratuito para revisar PRs**.

### [**Semgrep**](https://github.com/returntocorp/semgrep)

Es una **herramienta de Código Abierto**.

#### Idiomas Soportados

| Categoría    | Idiomas                                                                                               |
| ------------ | ----------------------------------------------------------------------------------------------------- |
| GA           | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta         | Kotlin · Rust                                                                                         |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·               |

#### Inicio Rápido

{% code overflow="wrap" %}
```bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto
```
{% endcode %}

También puedes usar la [**extensión de semgrep para VSCode**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep) para obtener los resultados dentro de VSCode.

### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/)

Hay una **versión gratuita** instalable.

#### Inicio Rápido

{% code overflow="wrap" %}
```bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
```
{% endcode %}

### CodeQL

Hay una **versión gratuita instalable** pero según la licencia **solo puedes usar la versión gratuita de CodeQL en proyectos Open Source**.

#### Instalación

{% code overflow="wrap" %}
```bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
```
#### Inicio Rápido - Preparar la base de datos

{% hint style="success" %}
Lo primero que necesitas hacer es **preparar la base de datos** (crear el árbol de código) para que luego las consultas se ejecuten sobre ella.
{% endhint %}

* Puedes permitir que codeql identifique automáticamente el idioma del repositorio y cree la base de datos

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

{% hint style="danger" %}
Esto **generalmente desencadenará un error** indicando que se especificó (o detectó automáticamente) más de un idioma. **Revisa las siguientes opciones** para solucionarlo.
{% endhint %}

* Puedes hacer esto **manualmente indicando** el **repositorio** y el **idioma** ([lista de idiomas](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create))

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

* Si tu repositorio utiliza **más de 1 idioma**, también puedes crear **1 DB por idioma** indicando cada idioma.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

* También puedes permitir que `codeql` **identifique todos los idiomas** por ti y cree una base de datos por idioma. Necesitas proporcionarle un **GITHUB\_TOKEN**.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
```
#### Inicio Rápido - Análisis del código

{% hint style="success" %}
Ahora es finalmente el momento de analizar el código
{% endhint %}

Recuerda que si utilizaste varios lenguajes, **una DB por lenguaje** habría sido creada en la ruta que especificaste.

{% code overflow="wrap" %}
```bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
```
#### Inicio Rápido - Scriptado

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG
```
{% endcode %}

Puede visualizar los hallazgos en [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) o utilizando la extensión de VSCode [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer).

También puede usar la [**extensión de VSCode**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) para obtener los hallazgos dentro de VSCode. Aún necesitará crear una base de datos manualmente, pero luego puede seleccionar cualquier archivo y hacer clic en `Clic Derecho` -> `CodeQL: Ejecutar Consultas en Archivos Seleccionados`

### [**Snyk**](https://snyk.io/product/snyk-code/)

Hay una **versión gratuita instalable**.

#### Inicio Rápido
```bash
# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test
```
También puedes usar la [**extensión snyk para VSCode**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) para obtener resultados dentro de VSCode.

### [Insider](https://github.com/insidersec/insider)

Es **Open Source**, pero parece **sin mantenimiento**.

#### Idiomas Soportados

Java (Maven y Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, y Javascript (Node.js).

#### Inicio Rápido
```bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>
```
### [**DeepSource**](https://deepsource.com/pricing)&#x20;

Gratis para **repositorios públicos**.

## NodeJS

* **`yarn`**
```bash
# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit
```
* **`pnpm`**
```bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
```
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Escáner de seguridad estático (SAST) para aplicaciones Node.js impulsado por [libsast](https://github.com/ajinabraham/libsast) y [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
* [**RetireJS**](https://github.com/RetireJS/retire.js)**:** El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron

* [**electronegativity**](https://github.com/doyensec/electronegativity)**:** Es una herramienta para identificar malas configuraciones y anti-patrones de seguridad en aplicaciones basadas en Electron.

## Python

* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit es una herramienta diseñada para encontrar problemas comunes de seguridad en el código Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta los plugins apropiados contra los nodos del AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.
```bash
# Install
pip3 install bandit

# Run
bandit -r <path to folder>
```
* [**safety**](https://github.com/pyupio/safety): Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las remediaciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrolladores, en pipelines de CI/CD y en sistemas de producción.
```bash
# Install
pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): Sin mantenimiento.

## .NET
```bash
# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## RUST
```bash
# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch
```
## Java
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
```
| Tarea              | Comando                                                   |
| ------------------ | --------------------------------------------------------- |
| Ejecutar Jar       | java -jar \[jar]                                          |
| Descomprimir Jar   | unzip -d \[directorio de salida] \[jar]                   |
| Crear Jar          | jar -cmf META-INF/MANIFEST.MF \[jar de salida] \*         |
| Base64 SHA256      | sha256sum \[archivo] \| cut -d' ' -f1 \| xxd -r -p \| base64 |
| Eliminar Firma     | rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA           |
| Eliminar de Jar    | zip -d \[jar] \[archivo a eliminar]                       |
| Descompilar clase  | procyon -o . \[ruta a la clase]                           |
| Descompilar Jar    | procyon -jar \[jar] -o \[directorio de salida]            |
| Compilar clase     | javac \[ruta al archivo .java]                            |

## Go
```bash
https://github.com/securego/gosec
```
## PHP

[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) y [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html).

### Plugins de Wordpress

[https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/)

## Solidity

* [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium)

## JavaScript

### Descubrimiento

1. Burp:
* Spider y descubre contenido
* Sitemap > filtro
* Sitemap > clic derecho en dominio > Herramientas de compromiso > Encontrar scripts
2. [WaybackURLs](https://github.com/tomnomnom/waybackurls):
* `waybackurls <dominio> |grep -i "\.js" |sort -u`

### Análisis Estático

#### Desminificar/Embellecer/Pulir

* [https://prettier.io/playground/](https://prettier.io/playground/)
* [https://beautifier.io/](https://beautifier.io/)

#### Desofuscar/Desempaquetar

**Nota**: Puede que no sea posible desofuscar completamente.

1. Buscar y usar archivos .map:
* Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
* Comúnmente, foo.js.map se mapea a foo.js. Buscarlos manualmente.
* Usar [JS Miner](https://github.com/PortSwigger/js-miner) para buscarlos.
* Asegurarse de realizar un escaneo activo.
* Leer '[Consejos/Notas](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)'
* Si se encuentran, usar [Maximize](https://www.npmjs.com/package/maximize) para desofuscar.
2. Sin archivos .map, intentar con JSnice:
* Referencias: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
* Consejos:
* Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript" y desmarca "Infer types" para reducir la cantidad de comentarios que ensucian el código.
* Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.
3. Usar console.log();
* Encontrar el valor de retorno al final y cambiarlo a `console.log(<variableDeRetornoDelEmpaquetador>);` para que el js desofuscado se imprima en lugar de ejecutarse.
* Luego, pegar el js modificado (y aún ofuscado) en https://jsconsole.com/ para ver el js desofuscado en la consola.
* Finalmente, pegar la salida desofuscada en https://prettier.io/playground/ para embellecerla para el análisis.
* **Nota**: Si aún ves js empaquetado (pero diferente), puede estar empaquetado recursivamente. Repetir el proceso.

#### Analizar

Referencias: https://medium.com/techiepedia/javascript-code-review-guide-for-bug-bounty-hunters-c95a8aa7037a

Buscar:

* Carga anti-depuración
* Angular: [enableProdMode](https://blog.nvisium.com/angular-for-pentesters-part-2)
* Secretos
* Usar:
* [JS Miner](https://github.com/PortSwigger/js-miner)
* Patrones de [RegHex](https://github.com/l4yton/RegHex)
* Patrones de [gf](https://github.com/tomnomnom/gf/tree/master/examples)
* Grep patrones de diccionario relevantes:
* pass, user, admin
* auth, login, sign, challenge, 2fa
* key, apikey, api\_key, api-key, jwt, token
* secret, security, secure
* ...
* Revisión manual
* Si se encuentra una API key, verificar aquí para la sintaxis de uso potencial: https://github.com/streaak/keyhacks.
* Funciones vulnerables
* InnerHTML() - Si encuentras esto, significa que hay una posibilidad de XSS si no se realiza una sanitización adecuada. Incluso si tu payload es sanitizado, no te preocupes. Rastrea el código para averiguar dónde se realiza la sanitización. Estúdialo e intenta sortear la sanitización.
* Postmessage() - Si has leído mi post anterior (https://medium.com/techiepedia/what-are-sop-cors-and-ways-to-exploit-it-62a5e02100dc), notarás que Postmessage() podría llevar a un problema de CORS potencial. Si el segundo parámetro de la función se establece en \*, eres afortunado. Consulta mi post anterior para entender más sobre el mecanismo detrás.
* String.prototype.search() - Esta función parece normal. ¿Por qué sería peligrosa? Bueno, es porque algunos desarrolladores la usaron para encontrar la ocurrencia de una cadena dentro de otra cadena. Sin embargo, “.” se trata como comodín en esta función. Entonces, si esta función se usa como chequeo de sanitización, puedes simplemente sortearla ingresando “.”. Consulta el informe de hackerone de Filedescryptor: https://hackerone.com/reports/129873
* Endpoints y parámetros
* Usar [LinkFinder](https://github.com/GerbenJavado/LinkFinder) y [JS Miner](https://github.com/PortSwigger/js-miner).
* Libs y dependencias vulnerables
* Usar [Retire.js](https://retirejs.github.io/retire.js/) y [NPM](https://snyk.io/advisor/) (desplazarse hacia abajo a la sección de seguridad > enlace de todas las versiones).
* URLs de la nube
* Usar [JS Miner](https://github.com/PortSwigger/js-miner).
* Subdominios
* Usar [JS Miner](https://github.com/PortSwigger/js-miner).
* Fallos de lógica
* Ganar conciencia situacional:
* ¿`use strict;`?
* Grep para controles del lado del cliente:
* disable, enable, hidden, hide, show
* catch, finally, throw, try
* input, validate, verify, valid, correct, check, confirm, require, ..
* Grep para no primitivos:
* function , => 
* class

### Análisis Dinámico

Referencias

* https://www.youtube.com/watch?v=\_v8r\_t4v6hQ
* https://blog.nvisium.com/angular-for-pentesters-part-1
* https://blog.nvisium.com/angular-for-pentesters-part-2

Herramientas

* https://portswigger.net/burp/documentation/desktop/tools/dom-invader

#### Referencias Menos Usadas

* https://cyberchef.org/
* https://olajs.com/javascript-prettifier
* https://jshint.com/
* https://github.com/jshint/jshint/

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>