Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['network-services-pentesting/pentesting-web/code-review-tool

Browse source
This commit is contained in:
Translator 2023-09-10 22:56:30 +00:00
parent a26a74e105
commit 695753ba1e
1 changed files with 23 additions and 15 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

38
network-services-pentesting/pentesting-web/code-review-tools.md
View file

@ -171,7 +171,7 @@ codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
#### Inicio rápido - Analizar el código
{% hint style="success" %}
Ahora finalmente es el momento de analizar el código.
Ahora finalmente es el momento de analizar el código
{% endhint %}
Recuerda que si utilizaste varios lenguajes, se habrá creado una **base de datos por lenguaje** en la ruta que especificaste.
@ -281,6 +281,14 @@ cd /path/to/repo
yarn audit
npm audit
```
* **`pnpm`**
```bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
```
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Escáner estático de código de seguridad (SAST) para aplicaciones Node.js impulsado por [libsast](https://github.com/ajinabraham/libsast) y [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
@ -333,19 +341,19 @@ Rust is a systems programming language that focuses on safety, speed, and concur
### Code Review Tools
When performing a code review in Rust, there are several tools that can help identify potential vulnerabilities and improve code quality. Here are some commonly used code review tools for Rust:
When performing a code review in Rust, there are several tools that can help identify potential issues and improve the overall quality of the code. Here are some commonly used code review tools for Rust:
1. **Clippy**: Clippy is a linter for Rust that provides helpful suggestions and warnings to improve code quality. It can catch common mistakes, such as unused variables, unnecessary code, and potential performance issues.
1. **Clippy**: Clippy is a linter for Rust that provides helpful suggestions and warnings about common mistakes and bad practices. It can catch issues such as unused variables, unnecessary code, and potential performance problems.
2. **Rustfmt**: Rustfmt is a tool for formatting Rust code according to the official Rust style guidelines. It automatically formats code to improve readability and maintain consistency across projects.
2. **Rustfmt**: Rustfmt is a tool for automatically formatting Rust code according to the official Rust style guidelines. It helps ensure consistent code formatting across different projects and makes the code easier to read and understand.
3. **Cargo Audit**: Cargo Audit is a tool that checks for known vulnerabilities in the dependencies used by a Rust project. It scans the project's Cargo.lock file and compares it against a database of known vulnerabilities.
3. **Cargo-audit**: Cargo-audit is a tool that checks Rust dependencies for known vulnerabilities. It scans the Cargo.lock file and compares the dependencies against a database of known vulnerabilities, providing a report of any vulnerable dependencies that need to be updated.
4. **RustSec**: RustSec is a security advisory database for Rust crates. It provides information about vulnerabilities and security issues in Rust dependencies. It can be used to check if a project's dependencies have any known security vulnerabilities.
4. **Rust-analyzer**: Rust-analyzer is an integrated development environment (IDE) extension that provides code analysis and completion for Rust. It offers features such as intelligent code suggestions, refactoring support, and real-time error highlighting.
5. **Rust Analyzer**: Rust Analyzer is an integrated development environment (IDE) extension for Rust. It provides features such as code completion, refactoring, and code navigation. It can help identify potential issues and improve code quality during code review.
5. **Rustdoc**: Rustdoc is a tool for generating documentation from Rust source code. It can be used to automatically generate API documentation for libraries and projects, making it easier for developers to understand and use the code.
These tools can be used together to perform a comprehensive code review in Rust. By using these tools, developers can identify and fix potential vulnerabilities, improve code quality, and ensure the reliability and security of their Rust projects.
These code review tools can help identify and fix potential issues in Rust code, improving its quality and reliability. By using these tools, developers can ensure that their code follows best practices and is free from common mistakes and vulnerabilities.
```bash
# Install
cargo install cargo-audit
@ -364,17 +372,17 @@ Java es un lenguaje de programación de alto nivel y orientado a objetos ampliam
La revisión de código es una técnica importante en el proceso de pentesting de aplicaciones web escritas en Java. Permite identificar vulnerabilidades y errores en el código fuente que podrían ser explotados por un atacante.
Existen varias herramientas de revisión de código en Java que pueden ayudar en este proceso. Estas herramientas analizan el código fuente en busca de posibles problemas de seguridad, como vulnerabilidades de inyección de SQL, XSS (Cross-Site Scripting) y deserialización no segura.
Existen varias herramientas de revisión de código en Java que pueden ayudar en este proceso. Algunas de las más populares son:
Algunas de las herramientas populares de revisión de código en Java son:
- **FindBugs**: una herramienta de análisis estático que busca errores comunes en el código Java, como el uso incorrecto de variables o la falta de validación de entradas.
- [FindBugs](https://findbugs.sourceforge.io/): una herramienta de análisis estático que busca errores de programación en el código fuente de Java.
- [SonarQube](https://www.sonarqube.org/): una plataforma de análisis de código que proporciona informes detallados sobre la calidad y seguridad del código.
- [Checkstyle](https://checkstyle.sourceforge.io/): una herramienta que ayuda a garantizar que el código Java cumpla con las convenciones de codificación y las mejores prácticas.
- **Checkstyle**: una herramienta que verifica si el código Java cumple con las convenciones de estilo definidas, como la indentación correcta y el uso adecuado de nombres de variables.
Estas herramientas pueden ser utilizadas durante el proceso de desarrollo para identificar y corregir problemas de seguridad en el código fuente. También se pueden utilizar durante una evaluación de seguridad para identificar posibles vulnerabilidades en una aplicación web escrita en Java.
- **PMD**: una herramienta que busca problemas potenciales en el código Java, como el uso de variables no utilizadas o la falta de manejo de excepciones.
Es importante tener en cuenta que la revisión de código es solo una parte del proceso de pentesting y no debe ser la única técnica utilizada. Es recomendable combinarla con otras técnicas, como pruebas de penetración y análisis de vulnerabilidades, para obtener una evaluación completa de la seguridad de una aplicación web.
- **SonarQube**: una plataforma de análisis de código que proporciona una amplia gama de reglas y métricas para evaluar la calidad del código Java.
Estas herramientas pueden ayudar a los pentesters a identificar posibles vulnerabilidades y mejorar la seguridad de las aplicaciones web escritas en Java. Es importante utilizar una combinación de estas herramientas para obtener una cobertura completa en la revisión de código.
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui