hacktricks/network-services-pentesting/pentesting-web/code-review-tools.md

# Revisão de Código Fonte / Ferramentas SAST

<details>

<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Orientações e Listas de Ferramentas

* [**https://owasp.org/www-community/Source\_Code\_Analysis\_Tools**](https://owasp.org/www-community/Source\_Code\_Analysis\_Tools)
* [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis)

## Ferramentas Multi-Idiomas

### [Naxus - AI-Gents](https://www.naxusai.com/)

Existe um **pacote gratuito para revisar PRs**.

### [**Semgrep**](https://github.com/returntocorp/semgrep)

É uma **ferramenta Open Source**.

#### Idiomas Suportados

| Categoria     | Idiomas                                                                                               |
| ------------ | ----------------------------------------------------------------------------------------------------- |
| GA           | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta         | Kotlin · Rust                                                                                         |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·               |

#### Início Rápido

{% code overflow="wrap" %}
```bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto
```
{% endcode %}

Você também pode usar a [**extensão semgrep para VSCode**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep) para obter os resultados dentro do VSCode.

### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/)

Existe uma **versão gratuita** instalável.

#### Início Rápido

{% code overflow="wrap" %}
```bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
```
{% endcode %}

### CodeQL

Existe uma **versão gratuita instalável** mas, de acordo com a licença, você **só pode usar a versão gratuita do CodeQL em projetos Open Source**.

#### Instalação

{% code overflow="wrap" %}
```bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
```
#### Início Rápido - Preparar o banco de dados

{% hint style="success" %}
A primeira coisa que você precisa fazer é **preparar o banco de dados** (criar a árvore de código) para que, posteriormente, as consultas sejam executadas sobre ele.
{% endhint %}

* Você pode permitir que o codeql identifique automaticamente o idioma do repositório e crie o banco de dados

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

{% hint style="danger" %}
Isso **geralmente acionará um erro** informando que mais de um idioma foi especificado (ou detectado automaticamente). **Verifique as próximas opções** para corrigir isso!
{% endhint %}

* Você pode fazer isso **manualmente indicando** o **repositório** e o **idioma** ([lista de idiomas](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create))

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

* Se o seu repositório está usando **mais de 1 idioma**, você também pode criar **1 DB por idioma** indicando cada idioma.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

* Você também pode permitir que o `codeql` **identifique todos os idiomas** por você e crie um DB por idioma. Você precisa fornecer um **GITHUB\_TOKEN**.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

#### Início Rápido - Analisar o código

{% hint style="success" %}
Agora é finalmente hora de analisar o código
{% endhint %}

Lembre-se de que se você usou várias linguagens, **um DB por linguagem** teria sido criado no caminho que você especificou.

{% code overflow="wrap" %}
```bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
```
#### Início Rápido - Scriptado

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG
```
```markdown
{% endcode %}

Você pode visualizar os resultados em [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) ou usando a extensão do VSCode [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer).

Você também pode usar a [**extensão do VSCode**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) para obter os resultados dentro do VSCode. Ainda será necessário criar um banco de dados manualmente, mas depois você pode selecionar quaisquer arquivos e clicar em `Clique com o botão direito` -> `CodeQL: Executar Consultas nos Arquivos Selecionados`

### [**Snyk**](https://snyk.io/product/snyk-code/)

Existe uma **versão gratuita instalável**.

#### Início Rápido
```
```bash
# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test
```
Você também pode usar a [**extensão snyk VSCode**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) para obter resultados dentro do VSCode.

### [Insider](https://github.com/insidersec/insider)

É **Open Source**, mas parece **desatualizado**.

#### Idiomas Suportados

Java (Maven e Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C#, e Javascript (Node.js).

#### Início Rápido
```bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>
```
### [**DeepSource**](https://deepsource.com/pricing)&#x20;

Gratuito para **repositórios públicos**.

## NodeJS

* **`yarn`**
```bash
# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit
```
* **`pnpm`**
```bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
```
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Scanner de segurança estático (SAST) para aplicações Node.js alimentado por [libsast](https://github.com/ajinabraham/libsast) e [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
* [**RetireJS**](https://github.com/RetireJS/retire.js)**:** O objetivo do Retire.js é ajudar você a detectar o uso de versões de bibliotecas JS com vulnerabilidades conhecidas.
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron

* [**electronegativity**](https://github.com/doyensec/electronegativity)**:** É uma ferramenta para identificar má configurações e anti-padrões de segurança em aplicações baseadas em Electron.

## Python

* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit é uma ferramenta projetada para encontrar problemas comuns de segurança no código Python. Para isso, o Bandit processa cada arquivo, constrói uma AST a partir dele e executa plugins apropriados contra os nós da AST. Uma vez que o Bandit termina de escanear todos os arquivos, ele gera um relatório.
```bash
# Install
pip3 install bandit

# Run
bandit -r <path to folder>
```
* [**safety**](https://github.com/pyupio/safety): Safety verifica as dependências Python para vulnerabilidades de segurança conhecidas e sugere as devidas correções para as vulnerabilidades detectadas. Safety pode ser executado em máquinas de desenvolvedores, em pipelines CI/CD e em sistemas de produção.
```bash
# Install
pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): Sem manutenção.

## .NET
```bash
# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## RUST
```bash
# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch
```
## Java
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
```
| Tarefa            | Comando                                                   |
| ----------------- | --------------------------------------------------------- |
| Executar Jar      | java -jar \[jar]                                          |
| Descompactar Jar  | unzip -d \[diretório de saída] \[jar]                     |
| Criar Jar         | jar -cmf META-INF/MANIFEST.MF \[jar de saída] \*          |
| Base64 SHA256     | sha256sum \[arquivo] \| cut -d' ' -f1 \| xxd -r -p \| base64 |
| Remover Assinatura| rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA           |
| Deletar do Jar    | zip -d \[jar] \[arquivo a remover]                        |
| Decompilar classe | procyon -o . \[caminho para classe]                       |
| Decompilar Jar    | procyon -jar \[jar] -o \[diretório de saída]              |
| Compilar classe   | javac \[caminho para arquivo .java]                       |

## Go
```bash
https://github.com/securego/gosec
```
## PHP

[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) e [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html).

### Plugins Wordpress

[https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/)

## Solidity

* [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium)

## JavaScript

### Descoberta

1. Burp:
* Spider e descobre conteúdo
* Sitemap > filtro
* Sitemap > clique com o botão direito no domínio > Ferramentas de Engajamento > Encontrar scripts
2. [WaybackURLs](https://github.com/tomnomnom/waybackurls):
* `waybackurls <domínio> |grep -i "\.js" |sort -u`

### Análise Estática

#### Desminificar/Embelezar/Prettify

* [https://prettier.io/playground/](https://prettier.io/playground/)
* [https://beautifier.io/](https://beautifier.io/)

#### Desofuscar/Desempacotar

**Nota**: Pode não ser possível desofuscar completamente.

1. Encontre e use arquivos .map:
* Se os arquivos .map estão expostos, podem ser usados para desofuscar facilmente.
* Comumente, foo.js.map mapeia para foo.js. Procure manualmente por eles.
* Use [JS Miner](https://github.com/PortSwigger/js-miner) para procurá-los.
* Garanta que a varredura ativa seja conduzida.
* Leia '[Dicas/Notas](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)'
* Se encontrado, use [Maximize](https://www.npmjs.com/package/maximize) para desofuscar.
2. Sem arquivos .map, tente JSnice:
* Referências: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
* Dicas:
* Se estiver usando jsnice.org, clique no botão de opções ao lado do botão "Nicify JavaScript" e desmarque "Infer types" para reduzir a poluição do código com comentários.
* Garanta que você não deixe linhas vazias antes do script, pois isso pode afetar o processo de desofuscação e gerar resultados imprecisos.
3. Use console.log();
* Encontre o valor de retorno no final e mude para `console.log(<variávelDeRetornoDoPacker>);` para que o js desofuscado seja impresso em vez de ser executado.
* Depois, cole o js modificado (e ainda ofuscado) em https://jsconsole.com/ para ver o js desofuscado registrado no console.
* Finalmente, cole a saída desofuscada em https://prettier.io/playground/ para embelezá-la para análise.
* **Nota**: Se você ainda estiver vendo js empacotado (mas diferente), pode ser que esteja empacotado recursivamente. Repita o processo.

#### Analisar

Referências: https://medium.com/techiepedia/javascript-code-review-guide-for-bug-bounty-hunters-c95a8aa7037a

Procure por:

* Carregamento anti-debug
* Angular: [enableProdMode](https://blog.nvisium.com/angular-for-pentesters-part-2)
* Segredos
* Use:
* [JS Miner](https://github.com/PortSwigger/js-miner)
* Padrões [RegHex](https://github.com/l4yton/RegHex)
* Padrões [gf](https://github.com/tomnomnom/gf/tree/master/examples)
* Grep padrões de dicionário relevantes:
* pass, user, admin
* auth, login, sign, challenge, 2fa
* key, apikey, api\_key, api-key, jwt, token
* secret, security, secure
* ...
* Revisão manual
* Se chave API encontrada, verifique aqui para potencial sintaxe de uso: https://github.com/streaak/keyhacks.
* Funções vulneráveis
* InnerHTML() - Se você encontrou isso, significa que há uma chance potencial de XSS se não houver sanitização adequada. Mesmo que seu payload seja sanitizado, não se preocupe. Rastreie o código para descobrir onde a sanitização ocorre. Estude-a e tente contornar a sanitização.
* Postmessage() - Se você leu meu post anterior (https://medium.com/techiepedia/what-are-sop-cors-and-ways-to-exploit-it-62a5e02100dc), notará que Postmessage() pode levar a um problema potencial de CORS. Se o segundo parâmetro da função for definido como \*, você é o sortudo. Confira meu post anterior para entender mais sobre o mecanismo por trás.
* String.prototype.search() - Esta função parece normal. Por que seria uma função perigosa? Bem, é porque alguns desenvolvedores a usaram para encontrar a ocorrência de uma string dentro de outra string. No entanto, “.” é tratado como coringa nesta função. Então, se esta função for usada como verificação de sanitização, você pode simplesmente contorná-la inserindo “.”. Confira o relatório de hackerone de Filedescryptor: https://hackerone.com/reports/129873
* Endpoints & parâmetros
* Use [LinkFinder](https://github.com/GerbenJavado/LinkFinder) & [JS Miner](https://github.com/PortSwigger/js-miner).
* Bibliotecas & dependências vulneráveis
* Use [Retire.js](https://retirejs.github.io/retire.js/) e [NPM](https://snyk.io/advisor/) (role para baixo até a seção de segurança > link todas as versões).
* URLs de nuvem
* Use [JS Miner](https://github.com/PortSwigger/js-miner).
* Subdomínios
* Use [JS Miner](https://github.com/PortSwigger/js-miner).
* Falhas Lógicas
* Ganhe consciência situacional:
* `use strict;`?
* Grep para controles do lado do cliente:
* disable, enable, hidden, hide, show
* catch, finally, throw, try
* input, validate, verify, valid, correct, check, confirm, require, ..
* Grep para não-primitivos:
* function , => 
* class

### Análise Dinâmica

Referências

* https://www.youtube.com/watch?v=\_v8r\_t4v6hQ
* https://blog.nvisium.com/angular-for-pentesters-part-1
* https://blog.nvisium.com/angular-for-pentesters-part-2

Ferramentas

* https://portswigger.net/burp/documentation/desktop/tools/dom-invader

#### Referências Menos Usadas

* https://cyberchef.org/
* https://olajs.com/javascript-prettifier
* https://jshint.com/
* https://github.com/jshint/jshint/

<details>

<summary><strong>Aprenda hacking AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga** me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>