hacktricks/network-services-pentesting/pentesting-web/code-review-tools.md

# Narzędzia do przeglądu kodu źródłowego / narzędzia SAST

<details>

<summary><strong>Dowiedz się, jak hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Inne sposoby wsparcia HackTricks:

* Jeśli chcesz zobaczyć swoją **firmę reklamowaną w HackTricks** lub **pobrać HackTricks w formacie PDF**, sprawdź [**PLANY SUBSKRYPCYJNE**](https://github.com/sponsors/carlospolop)!
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
* **Dołącz do** 💬 [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

## Wskazówki i listy narzędzi

* [**https://owasp.org/www-community/Source\_Code\_Analysis\_Tools**](https://owasp.org/www-community/Source\_Code\_Analysis\_Tools)
* [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis)

## Narzędzia wielojęzyczne

### [Naxus - AI-Gents](https://www.naxusai.com/)

Dostępny jest **darmowy pakiet do przeglądu PR**.

### [**Semgrep**](https://github.com/returntocorp/semgrep)

To **narzędzie typu Open Source**.

#### Obsługiwane języki

| Kategoria     | Języki                                                                                               |
| -------------- | ----------------------------------------------------------------------------------------------------- |
| GA            | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta          | Kotlin · Rust                                                                                         |
| Eksperymentalne| Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·               |

#### Szybki start

{% code overflow="wrap" %}
```bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto
```
{% endcode %}

Możesz również użyć [**rozszerzenia VSCode semgrep**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep), aby uzyskać wyniki wewnątrz VSCode.

### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/)

Dostępna jest instalowalna **darmowa wersja**.

#### Szybki start

{% code overflow="wrap" %}
```bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
```
{% endcode %}

### CodeQL

Istnieje **darmowa wersja instalacyjna**, ale zgodnie z licencją możesz **korzystać tylko z darmowej wersji CodeQL w projektach typu Open Source**.

#### Instalacja

{% code overflow="wrap" %}
```bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
```
{% endcode %}

#### Szybki start - Przygotowanie bazy danych

{% hint style="success" %}
Pierwszą rzeczą, którą musisz zrobić, jest **przygotowanie bazy danych** (utworzenie drzewa kodu), aby później zapytania mogły być na niej uruchamiane.
{% endhint %}

* Możesz pozwolić codeqlowi automatycznie zidentyfikować język repozytorium i utworzyć bazę danych

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

{% hint style="danger" %}
To zazwyczaj spowoduje błąd mówiący, że określono więcej niż jedny język (lub został automatycznie wykryty). Sprawdź następne opcje, aby to naprawić!
{% endhint %}

* Możesz to zrobić ręcznie wskazując **repozytorium** i **język** ([lista języków](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create))

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

* Jeśli twoje repozytorium używa **więcej niż 1 języka**, możesz również utworzyć **1 bazę danych na język**, wskazując każdy język.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

* Możesz również pozwolić `codeql` na **zidentyfikowanie wszystkich języków** dla Ciebie i utworzenie bazy danych dla każdego języka. Musisz podać **GITHUB\_TOKEN**.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

#### Szybki start - Analiza kodu

{% hint style="success" %}
Nadszedł wreszcie czas na analizę kodu
{% endhint %}

Pamiętaj, że jeśli użyłeś kilku języków, **baza danych na język** została utworzona w ścieżce, którą określiłeś.

{% code overflow="wrap" %}
```bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
```
{% endcode %}

#### Szybki start - Skryptowany

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG
```
{% endcode %}

Możesz zwizualizować znalezione elementy na [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) lub używając rozszerzenia VSCode [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer).

Możesz także użyć [**rozszerzenia VSCode**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql), aby uzyskać wyniki wewnątrz VSCode. Nadal będziesz musiał ręcznie utworzyć bazę danych, ale potem możesz wybrać dowolne pliki i kliknąć `Prawy przycisk myszy` -> `CodeQL: Uruchom zapytania w wybranych plikach`

### [**Snyk**](https://snyk.io/product/snyk-code/)

Dostępna jest **darmowa wersja instalacyjna**.

#### Szybki start
```bash
# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test
```
Możesz również używać [**rozszerzenia Snyk dla VSCode**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner), aby uzyskać wyniki wewnątrz VSCode.

### [Insider](https://github.com/insidersec/insider)

To **Open Source**, ale wygląda na **nieutrzymywane**.

#### Obsługiwane języki

Java (Maven i Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# oraz Javascript (Node.js).

#### Szybki start
```bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>
```
### [**DeepSource**](https://deepsource.com/pricing)&#x20;

Darmowe dla **repozytoriów publicznych**.

## NodeJS

* **`yarn`**
```bash
# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit
```
* **`pnpm`**
```bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
```
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Statyczne narzędzie skanujące kod pod kątem bezpieczeństwa (SAST) dla aplikacji Node.js oparte na [libsast](https://github.com/ajinabraham/libsast) i [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
* [**RetireJS**](https://github.com/RetireJS/retire.js)**:** Celem Retire.js jest pomóc w wykrywaniu użycia wersji bibliotek JS znanymi podatnościami.
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron

* [**electronegativity**](https://github.com/doyensec/electronegativity)**:** Jest to narzędzie do identyfikowania błędnych konfiguracji i antywzorców bezpieczeństwa w aplikacjach opartych na Electron.

## Python

* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit to narzędzie przeznaczone do znajdowania powszechnych problemów związanych z bezpieczeństwem w kodzie Pythona. Aby to zrobić, Bandit przetwarza każdy plik, buduje z niego AST i uruchamia odpowiednie wtyczki przeciwko węzłom AST. Po zakończeniu skanowania wszystkich plików Bandit generuje raport.
```bash
# Install
pip3 install bandit

# Run
bandit -r <path to folder>
```
* [**safety**](https://github.com/pyupio/safety): Safety sprawdza zależności Pythona pod kątem znanych podatności bezpieczeństwa i sugeruje odpowiednie środki zaradcze dla wykrytych podatności. Safety można uruchamiać na maszynach programistów, w potokach CI/CD oraz na systemach produkcyjnych.
```bash
# Install
pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): Nieaktualizowany.

## .NET
```bash
# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## RUST
```bash
# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch
```
## Java

### FindBugs

FindBugs to darmowe narzędzie do statycznej analizy kodu Java, które pomaga w identyfikowaniu błędów programistycznych, takich jak wycieki pamięci, nieprawidłowe użycie zmiennych czy błędy wydajnościowe.

### PMD

PMD to kolejne narzędzie do analizy statycznej kodu Java, które pomaga w identyfikowaniu potencjalnych problemów w kodzie, takich jak nieoptymalne fragmenty kodu, nieużywane zmienne czy nieprawidłowe formatowanie.

### Checkstyle

Checkstyle to narzędzie do automatycznej weryfikacji zgodności z zdefiniowanymi standardami kodu Java. Pomaga w utrzymaniu spójności i czytelności kodu poprzez sprawdzanie zgodności z ustalonymi regułami formatowania.
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
```
| Zadanie          | Komenda                                                   |
| --------------- | --------------------------------------------------------- |
| Wykonaj Jar     | java -jar \[jar]                                          |
| Rozpakuj Jar    | unzip -d \[katalog wyjściowy] \[jar]                       |
| Utwórz Jar      | jar -cmf META-INF/MANIFEST.MF \[jar wyjściowy] \*            |
| Base64 SHA256   | sha256sum \[plik] \| cut -d' ' -f1 \| xxd -r -p \| base64 |
| Usuń Podpis     | rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA           |
| Usuń z Jara     | zip -d \[jar] \[plik do usunięcia]                           |
| Dekompiluj klasę | procyon -o . \[ścieżka do klasy]                             |
| Dekompiluj Jar   | procyon -jar \[jar] -o \[katalog wyjściowy]                |
| Skompiluj klasę   | javac \[ścieżka do pliku .java]                               |

## Go
```bash
https://github.com/securego/gosec
```
## PHP

[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) i [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html).

### Wtyczki Wordpress

[https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/)

## Solidity

* [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium)

## JavaScript

### Odkrywanie

1. Burp:
* Spider i odkrywaj zawartość
* Mapa witryny > filtr
* Mapa witryny > kliknij prawym przyciskiem domenę > Narzędzia zaangażowania > Znajdź skrypty
2. [WaybackURLs](https://github.com/tomnomnom/waybackurls):
* `waybackurls <domena> |grep -i "\.js" |sort -u`

### Analiza statyczna

#### Odmień/Rozjaśnij/Upiększ

* [https://prettier.io/playground/](https://prettier.io/playground/)
* [https://beautifier.io/](https://beautifier.io/)
* Zobacz również niektóre z narzędzi wymienionych poniżej w 'Deobfuscate/Unpack'.

#### Deobfuscate/Unpack

**Uwaga**: Może nie być możliwe całkowite deobfuskowanie.

1. Znajdź i użyj plików .map:
* Jeśli pliki .map są ujawnione, mogą być użyte do łatwego deobfuskowania.
* Zazwyczaj foo.js.map mapuje do foo.js. Szukaj ich ręcznie.
* Użyj [JS Miner](https://github.com/PortSwigger/js-miner), aby je znaleźć.
* Upewnij się, że przeprowadzono aktywne skanowanie.
* Przeczytaj '[Wskazówki/Notatki](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)'
* Jeśli znalezione, użyj [Maximize](https://www.npmjs.com/package/maximize) do deobfuskacji.
2. Bez plików .map, spróbuj JSnice:
* Odnośniki: [http://jsnice.org/](http://jsnice.org/) & [https://www.npmjs.com/package/jsnice](https://www.npmjs.com/package/jsnice)
* Wskazówki:
* Jeśli korzystasz z jsnice.org, kliknij przycisk opcji obok przycisku "Nicify JavaScript" i odznacz "Infer types", aby zmniejszyć zagrzybienie kodu komentarzami.
* Upewnij się, że nie pozostawiasz pustych linii przed skryptem, ponieważ może to wpłynąć na proces deobfuskacji i prowadzić do niedokładnych wyników.
4. Dla niektórych nowoczesnych alternatyw dla JSNice, możesz chcieć spojrzeć na następujące:
* [https://github.com/pionxzh/wakaru](https://github.com/pionxzh/wakaru)
* > Dekompilator JavaScript, narzędzie do rozpakowywania i deobfuskacji
> Wakaru to dekompilator JavaScript dla nowoczesnych interfejsów. Przywraca oryginalny kod z połączonego i przetłumaczonego źródła.
* [https://github.com/j4k0xb/webcrack](https://github.com/j4k0xb/webcrack)
* > Deobfuskacja obfuscator.io, rozpakowywanie i deobfuskacja połączonego JavaScriptu
* [https://github.com/jehna/humanify](https://github.com/jehna/humanify)
* > Rozpakuj kod JavaScript, używając ChatGPT
> To narzędzie używa dużych modeli językowych (takich jak ChatGPT i llama2) oraz innych narzędzi do rozpakowania kodu JavaScript. Należy zauważyć, że LLM nie wykonują żadnych zmian strukturalnych - dostarczają tylko wskazówek do zmiany nazw zmiennych i funkcji. Ciężka praca jest wykonywana przez Babel na poziomie AST, aby zapewnić, że kod pozostaje równoważny 1-1.
* [https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html](https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html)
* > Korzystanie z LLM do odwrócenia zminifikowania nazw zmiennych w JavaScript
3. Użyj `console.log()`;
* Znajdź wartość zwracaną na końcu i zmień ją na `console.log(<packerReturnVariable>);`, aby zamiast wykonywania, deobfuskowany js został wydrukowany.
* Następnie wklej zmodyfikowany (i nadal zaszyfrowany) js do [https://jsconsole.com/](https://jsconsole.com/), aby zobaczyć zdeobfuskowany js zapisany w konsoli.
* Na koniec wklej wynik deobfuskacji do [https://prettier.io/playground/](https://prettier.io/playground/), aby upiększyć go do analizy.
* **Uwaga**: Jeśli nadal widzisz spakowany (ale inny) js, może być rekurencyjnie spakowany. Powtórz proces.

#### Odnośniki

* [YouTube: DAST - Analiza dynamiczna JavaScript](https://www.youtube.com/watch?v=_v8r_t4v6hQ)
* [https://blog.nvisium.com/angular-for-pentesters-part-1](https://web.archive.org/web/20221226054137/https://blog.nvisium.com/angular-for-pentesters-part-1)
* [https://blog.nvisium.com/angular-for-pentesters-part-2](https://web.archive.org/web/20230204012439/https://blog.nvisium.com/angular-for-pentesters-part-2)
* [devalias](https://twitter.com/_devalias)'s [GitHub Gists](https://gist.github.com/0xdevalias):
* [Deobfuscating / Unminifying Obfuscated Web App Code](https://gist.github.com/0xdevalias/d8b743efb82c0e9406fc69da0d6c6581#deobfuscating--unminifying-obfuscated-web-app-code)
* [Reverse Engineering Webpack Apps](https://gist.github.com/0xdevalias/8c621c5d09d780b1d321bfdb86d67cdd#reverse-engineering-webpack-apps)
* [etc](https://gist.github.com/search?q=user:0xdevalias+javascript)

#### Narzędzia

* [https://portswigger.net/burp/documentation/desktop/tools/dom-invader](https://portswigger.net/burp/documentation/desktop/tools/dom-invader)

#### Mniej Używane Odnośniki

* [https://cyberchef.org/](https://cyberchef.org/)
* [https://olajs.com/javascript-prettifier](https://olajs.com/javascript-prettifier)
* [https://jshint.com/](https://jshint.com/)
* [https://github.com/jshint/jshint/](https://github.com/jshint/jshint/)