hacktricks/network-services-pentesting/pentesting-web/code-review-tools.md

# 源代码审查 / SAST 工具

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* 你在一家 **网络安全公司** 工作吗？你想在 HackTricks 中看到你的 **公司广告**吗？或者你想获得 **PEASS 的最新版本或下载 HackTricks 的 PDF 版本**吗？请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)！
* 发现我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family) 集合 [**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
* **加入** [**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass)，或者在 **Twitter** 上 **关注** 我 [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向** [**hacktricks 仓库**](https://github.com/carlospolop/hacktricks) **和** [**hacktricks-cloud 仓库**](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**

</details>

## 指南和工具列表

* [**https://owasp.org/www-community/Source\_Code\_Analysis\_Tools**](https://owasp.org/www-community/Source\_Code\_Analysis\_Tools)
* [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis)

## 多语言工具

### [Naxus - AI-Gents](https://www.naxusai.com/)

有一个**免费的套餐用于审查 PR**。

### [**Semgrep**](https://github.com/returntocorp/semgrep)

这是一个**开源工具**。

#### 支持的语言

| 类别         | 语言                                                                                                  |
| ------------ | ----------------------------------------------------------------------------------------------------- |
| GA           | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta         | Kotlin · Rust                                                                                         |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·               |

#### 快速入门

{% code overflow="wrap" %}
```bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto
```
{% endcode %}

您还可以使用[**semgrep VSCode扩展**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep)在VSCode中获取结果。

### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/)

有一个可安装的**免费版本**。

#### 快速入门

{% code overflow="wrap" %}
```bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
```
{% endcode %}

### CodeQL

有一个**可安装的免费版本**，但根据许可证，您只能在开源项目中使用免费的CodeQL版本。

#### 安装

{% code overflow="wrap" %}
```bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
```
{% endcode %}

#### 快速入门 - 准备数据库

{% hint style="success" %}
首先，您需要**准备数据库**（创建代码树），以便稍后在其上运行查询。
{% endhint %}

* 您可以允许 codeql 自动识别存储库的语言并创建数据库

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

{% hint style="danger" %}
这通常会触发一个错误，说指定了多种语言（或自动检测到）。请查看下面的选项来解决这个问题！
{% endhint %}

* 您可以手动指定**repo**和**语言**来执行此操作（[语言列表](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create)）

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

* 如果您的存储库使用**多种语言**，您还可以为每种语言创建**1个数据库**来指示每种语言。

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

* 您还可以允许 `codeql` 为您**识别所有的语言**并为每种语言创建一个数据库。您需要提供一个 **GITHUB\_TOKEN**。
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

#### 快速入门 - 分析代码

{% hint style="success" %}
现在终于是分析代码的时候了
{% endhint %}

请记住，如果您使用了多种语言，**每种语言都会在您指定的路径下创建一个数据库**。

{% code overflow="wrap" %}
```bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
```
#### 快速入门 - 脚本化

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG
```
{% endcode %}

您可以在[**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/)上可视化查找结果，或者使用VSCode扩展程序[**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer)。

您还可以使用[**VSCode扩展程序**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql)在VSCode中获取查找结果。您仍然需要手动创建数据库，但然后您可以选择任何文件并点击`右键`->`CodeQL: Run Queries in Selected Files`

### [**Snyk**](https://snyk.io/product/snyk-code/)

有一个**可安装的免费版本**。

#### 快速入门
```bash
# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test
```
你还可以使用[snyk VSCode扩展](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner)在VSCode中获取结果。

### [Insider](https://github.com/insidersec/insider)

这是一个**开源**项目，但看起来**未维护**。

#### 支持的语言

Java（Maven和Android）、Kotlin（Android）、Swift（iOS）、.NET Full Framework、C#和Javascript（Node.js）。

#### 快速入门
```bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>
```
### [**DeepSource**](https://deepsource.com/pricing)&#x20;

对于**公共仓库**免费。

## NodeJS

* **`yarn`**
```bash
# Install
brew isntall yarn
# Run
cd /path/to/repo
yarn audit
npm audit
```
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**：**用于Node.js应用程序的静态安全代码扫描器（SAST），由[libsast](https://github.com/ajinabraham/libsast)和[semgrep](https://github.com/returntocorp/semgrep)提供支持。
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
* [**RetireJS**](https://github.com/RetireJS/retire.js)**:** Retire.js的目标是帮助您检测使用已知漏洞的JS库版本。
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron

* [**electronegativity**](https://github.com/doyensec/electronegativity)**：**这是一个用于识别基于Electron的应用程序中的配置错误和安全反模式的工具。

## Python

* [**Bandit**](https://github.com/PyCQA/bandit)**：**Bandit是一个旨在查找Python代码中常见安全问题的工具。为此，Bandit处理每个文件，从中构建AST，并针对AST节点运行适当的插件。一旦Bandit完成扫描所有文件，它就会生成一份报告。
```bash
# Install
pip3 install bandit

# Run
bandit -r <path to folder>
```
* [**safety**](https://github.com/pyupio/safety): Safety检查Python依赖项是否存在已知的安全漏洞，并提供适当的修复建议。Safety可以在开发者机器上运行，在CI/CD流水线上运行，也可以在生产系统上运行。
```bash
# Install
pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): 未维护

## .NET
```bash
# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## Java

Java是一种广泛使用的编程语言，常用于开发Web应用程序和企业级应用程序。在进行代码审查时，以下工具可以帮助发现潜在的安全漏洞和代码质量问题。

### 1. FindBugs

FindBugs是一个静态分析工具，用于检测Java代码中的常见错误和潜在的安全漏洞。它可以识别空指针引用、资源未关闭、不安全的类型转换等问题。

使用方法：

```bash
$ findbugs -textui <path_to_jar_file>
```

### 2. PMD

PMD是一个源代码静态分析工具，用于检测Java代码中的潜在问题和编码规范违规。它可以识别未使用的变量、重复的代码、不必要的条件等问题。

使用方法：

```bash
$ pmd -d <path_to_source_code> -f text
```

### 3. Checkstyle

Checkstyle是一个用于检查Java代码风格和编码规范的工具。它可以识别缩进错误、命名规范违规、代码注释问题等。

使用方法：

```bash
$ checkstyle -c <path_to_checkstyle_config> <path_to_source_code>
```

### 4. SonarQube

SonarQube是一个用于代码质量管理的开源平台。它可以检测Java代码中的安全漏洞、代码重复、代码覆盖率等问题，并提供详细的报告和建议。

使用方法：

1. 安装SonarQube服务器。
2. 在项目中集成SonarQube插件。
3. 运行SonarQube分析。

### 5. FindSecBugs

FindSecBugs是一个专门用于检测Java代码中安全漏洞的工具。它可以识别常见的安全问题，如SQL注入、XSS攻击、敏感信息泄露等。

使用方法：

```bash
$ findsecbugs -progress -effort:max <path_to_jar_file>
```

以上是一些常用的Java代码审查工具，可以帮助发现潜在的安全漏洞和代码质量问题。在进行代码审查时，建议结合多种工具使用，以提高审查的准确性和效率。
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
```
| 任务            | 命令                                                     |
| --------------- | --------------------------------------------------------- |
| 执行 Jar       | java -jar \[jar]                                          |
| 解压 Jar       | unzip -d \[output directory] \[jar]                       |
| 创建 Jar       | jar -cmf META-INF/MANIFEST.MF \[output jar] \*            |
| Base64 SHA256   | sha256sum \[file] \| cut -d' ' -f1 \| xxd -r -p \| base64 |
| 移除签名       | rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA           |
| 从 Jar 中删除  | zip -d \[jar] \[file to remove]                           |
| 反编译类       | procyon -o . \[path to class]                             |
| 反编译 Jar     | procyon -jar \[jar] -o \[output directory]                |
| 编译类         | javac \[path to .java file]                               |

## 运行
```bash
https://github.com/securego/gosec
```
## PHP

[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html)和[PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html)。

### Wordpress插件

[https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/)

## Solidity

* [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium)

## JavaScript

### 发现

1. Burp：
* Spider和发现内容
* Sitemap > 过滤器
* Sitemap > 右键单击域名 > Engagement工具 > 查找脚本
2. [WaybackURLs](https://github.com/tomnomnom/waybackurls)：
* `waybackurls <domain> |grep -i "\.js" |sort -u`

### 静态分析

#### 反混淆/美化/格式化

* [https://prettier.io/playground/](https://prettier.io/playground/)
* [https://beautifier.io/](https://beautifier.io/)

#### 解混淆/解包

**注意**：可能无法完全解混淆。

1. 查找并使用.map文件：
* 如果.map文件被公开，可以使用它们轻松解混淆。
* 通常，foo.js.map映射到foo.js。手动查找它们。
* 使用[JS Miner](https://github.com/PortSwigger/js-miner)查找它们。
* 确保进行主动扫描。
* 阅读“[提示/笔记](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)”
* 如果找到，请使用[Maximize](https://www.npmjs.com/package/maximize)进行解混淆。
2. 如果没有.map文件，请尝试使用JSnice：
* 参考：http://jsnice.org/和https://www.npmjs.com/package/jsnice
* 提示：
* 如果使用jsnice.org，请点击“Nicify JavaScript”按钮旁边的选项按钮，并取消选择“Infer types”以减少代码中的注释。
* 确保在脚本之前不留下任何空行，因为它可能会影响解混淆过程并导致不准确的结果。
3. 使用console.log();
* 找到最后的返回值，并将其更改为`console.log(<packerReturnVariable>);`，以便打印解混淆的js而不是执行它。
* 然后，将修改后（仍然混淆的）js粘贴到https://jsconsole.com/中，以查看解混淆的js在控制台中记录。
* 最后，将解混淆的输出粘贴到https://prettier.io/playground/中进行美化以进行分析。
* **注意**：如果仍然看到打包的（但不同的）js，则可能是递归打包。重复该过程。

#### 分析

参考：https://medium.com/techiepedia/javascript-code-review-guide-for-bug-bounty-hunters-c95a8aa7037a

寻找：

* 反调试加载
* Angular：[enableProdMode](https://blog.nvisium.com/angular-for-pentesters-part-2)
* 密钥
* 使用：
* [JS Miner](https://github.com/PortSwigger/js-miner)
* [RegHex](https://github.com/l4yton/RegHex)模式
* [gf](https://github.com/tomnomnom/gf/tree/master/examples)模式
* Grep相关字典模式：
* pass, user, admin
* auth, login, sign, challenge, 2fa
* key, apikey, api\_key, api-key, jwt, token
* secret, security, secure
* ...
* 手动审查
* 如果找到API密钥，请在此处检查潜在的使用语法：https://github.com/streaak/keyhacks。
* 漏洞函数
* InnerHTML() - 如果找到此函数，意味着如果没有进行适当的净化，可能存在XSS的潜在机会。即使您的有效负载已经过净化，也不用担心。跟踪代码以找出净化发生的位置。研究它并尝试绕过净化。
* Postmessage() - 如果您阅读了我的先前文章（https://medium.com/techiepedia/what-are-sop-cors-and-ways-to-exploit-it-62a5e02100dc），您会注意到Postmessage()可能导致潜在的CORS问题。如果函数的第二个参数设置为\*，那么您是幸运的人。查看我的先前文章以了解更多相关机制。
* String.prototype.search() - 这个函数看起来很正常。为什么它会是一个危险的函数呢？因为一些开发人员使用它来查找一个字符串在另一个字符串中的出现。然而，“.”在这个函数中被视为通配符。因此，如果此函数用作净化检查，您可以通过输入“.”来简单地绕过它。查看Filedescryptor的hackerone报告：https://hackerone.com/reports/129873
* 端点和参数
* 使用[LinkFinder](https://github.com/GerbenJavado/LinkFinder)和[JS Miner](https://github.com/PortSwigger/js-miner)。
* 漏洞库和依赖项
* 使用[Retire.js](https://retirejs.github.io/retire.js/)和[NPM](https://snyk.io/advisor/)（向下滚动到安全部分>所有版本链接）。
* 云URL
* 使用[JS Miner](https://github.com/PortSwigger/js-miner)。
* 子域
* 使用[JS Miner](https://github.com/PortSwigger/js-miner)。
* 逻辑缺陷
* 获得情境意识：
* `use strict;`？
* Grep客户端控件：
* disable, enable, hidden, hide, show
* catch, finally, throw, try
* input, validate, verify, valid, correct, check, confirm, require, ..
* Grep非原始值：
* function , =>
* class

### 动态分析

参考

* https://www.youtube.com/watch?v=\_v8r\_t4v6hQ
* https://blog.nvisium.com/angular-for-pentesters-part-1
* https://blog.nvisium.com/angular-for-pentesters-part-2

工具

* https://portswigger.net/burp/documentation/desktop/tools/dom-invader

#### 不常用的参考资料

* https://cyberchef.org/
* https://olajs.com/javascript-prettifier
* https://jshint.com/
* https://github.com/jshint/jshint/

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* 您在**网络安全公司**工作吗？您想在HackTricks中看到您的**公司广告**吗？或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗？请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 发现我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入** [💬](https://emojipedia.org/speech-balloon/) [Discord 群组](https://discord.gg/hRep4RUj7f) 或 [Telegram 群组](https://t.me/peass) 或 **关注**我的 **Twitter** [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live)**。**
* **通过向** [hacktricks 仓库](https://github.com/carlospolop/hacktricks) **和** [hacktricks-cloud 仓库](https://github.com/carlospolop/hacktricks-cloud) **提交 PR 来分享你的黑客技巧。**

</details>