Translated ['network-services-pentesting/pentesting-web/code-review-tool

2024-11-16 01:38:20 +00:00 · 2023-09-04 16:28:48 +00:00 · 2023-09-04 16:28:48 +00:00 · 39376209a2
commit 39376209a2
parent f2e75dd6f0
1 changed files with 13 additions and 8 deletions
--- a/network-services-pentesting/pentesting-web/code-review-tools.md
+++ b/network-services-pentesting/pentesting-web/code-review-tools.md
@ -8,7 +8,7 @@
 * [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
 * [**公式のPEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
 * [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* **ハッキングのトリックを共有するために、PRを提出して** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に参加してください。**
+* **ハッキングのトリックを共有するために、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**

 </details>

@ -101,7 +101,7 @@ snyk container test [image]
 # Test for IaC vulns
 snyk iac test
 ```
-[**snyk VSCode拡張機能**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner)を使用することもできます。VSCode内での検出結果を取得できます。
+[**snyk VSCode Extension**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner)を使用することもできます。VSCode内での検出結果を取得するためのものです。

 ### CodeQL

@ -145,20 +145,25 @@ codeql resolve qlpacks
 ## You need to export a GITHUB_TOKEN (codeql will detect languages automatically)
 export GITHUB_TOKEN=ghp_32849y23hij4...
 codeql database create <database> --db-cluster --source-root </path/to/repo>
-## Or to indicate the languages yourself (https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create)
+## Or to indicate the languages yourself
 codeql database create <database> --language=<language-identifier> --source-root </path/to/repo>
 ## For example
 export GITHUB_TOKEN=ghp_32849y23hij4...
-codeql database create /tmp/codeql_db --db-cluster --source-root /path/to/repo # Generate the folder /tmp/codeql_db
+codeql database create /tmp/codeql_db --db-cluster --source-root /path/to/repo # This will generate the folder /tmp/codeql_db

 # Analyze the code
-codeql database analyze <database> --format=<format> --output=</out/file/path> --download
-## Example
-codeql database analyze /tmp/codeql_db --download --format=csv --output=/tmp/graphql_results.csv
+codeql database analyze <database> --format=<format> --output=</out/file/path>
+# If you used --db-cluster a different db was created per language, you need to indicate it. In this example I analyze the javascript folder.
+codeql database analyze /tmp/codeql_db/javascript --format=csv --output=/tmp/graphql_results.csv
+
+# Get sarif format
+codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif
+
+# You can visualize the findings in https://microsoft.github.io/sarif-web-component/
 ```
 {% endcode %}

-[**VSCodeの拡張機能**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql)を使用して、VSCode内で結果を取得することもできます。
+また、[**VSCodeの拡張機能**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql)を使用して、VSCode内で結果を取得することもできます。手動でデータベースを作成する必要はありますが、その後は任意のファイルを選択し、`右クリック` -> `CodeQL: Run Queries in Selected Files`をクリックすることができます。

 ### [Insider](https://github.com/insidersec/insider)