Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 14:08:26 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['network-services-pentesting/pentesting-web/code-review-tool

Browse source
This commit is contained in:
Translator 2023-09-05 14:50:28 +00:00
parent 4dca5eeef8
commit 939f6b16bb
1 changed files with 15 additions and 17 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

32
network-services-pentesting/pentesting-web/code-review-tools.md
View file

@ -78,7 +78,7 @@ sonar-scanner \
### CodeQL
Existe uma versão gratuita **instalável**.
Existe uma versão gratuita **instalável**, mas de acordo com a licença, você só pode **usar a versão gratuita do CodeQL em projetos de código aberto**.
#### Instalação
@ -300,7 +300,7 @@ retire --colors
## Python
* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit é uma ferramenta projetada para encontrar problemas de segurança comuns em código Python. Para fazer isso, o Bandit processa cada arquivo, constrói uma AST a partir dele e executa plugins apropriados nos nós da AST. Uma vez que o Bandit tenha terminado de escanear todos os arquivos, ele gera um relatório.
* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit é uma ferramenta projetada para encontrar problemas de segurança comuns em código Python. Para fazer isso, o Bandit processa cada arquivo, constrói uma AST a partir dele e executa plugins apropriados nos nós da AST. Uma vez que o Bandit termina de escanear todos os arquivos, ele gera um relatório.
```bash
# Install
pip3 install bandit
@ -327,31 +327,29 @@ C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## Java
Java é uma linguagem de programação popular que é amplamente utilizada para desenvolvimento de aplicativos web. Ao realizar uma revisão de código em um aplicativo Java, existem várias ferramentas úteis que podem ajudar a identificar possíveis vulnerabilidades de segurança. Nesta seção, discutiremos algumas dessas ferramentas.
Java é uma linguagem de programação popular que é amplamente utilizada para desenvolvimento de aplicativos web. Ao realizar uma revisão de código em um aplicativo Java, existem várias ferramentas úteis que podem ajudar a identificar possíveis vulnerabilidades de segurança. Aqui estão algumas das principais ferramentas de revisão de código para Java:
### FindBugs
### 1. FindBugs
O FindBugs é uma ferramenta de análise estática de código que pode ser usada para identificar possíveis bugs e vulnerabilidades em um código Java. Ele examina o código em busca de padrões conhecidos de erros e emite avisos sobre possíveis problemas. O FindBugs pode ajudar a identificar vulnerabilidades comuns, como uso incorreto de APIs, problemas de segurança de dados e erros de programação.
O FindBugs é uma ferramenta de análise estática de código que pode identificar bugs potenciais em um código Java. Ele pode detectar problemas como uso incorreto de APIs, erros de programação e vulnerabilidades de segurança. O FindBugs fornece relatórios detalhados sobre os problemas encontrados, permitindo que os desenvolvedores corrijam os problemas antes que eles se tornem vulnerabilidades reais.
### PMD
### 2. PMD
O PMD é outra ferramenta de análise estática de código que pode ser usada para identificar problemas de código em um aplicativo Java. Ele verifica o código em busca de más práticas de programação, código duplicado, variáveis não utilizadas e outros problemas de qualidade de código. O PMD pode ajudar a melhorar a legibilidade e a manutenibilidade do código, além de identificar possíveis vulnerabilidades.
O PMD é outra ferramenta de análise estática de código que pode ajudar a identificar problemas de qualidade de código em um aplicativo Java. Ele verifica o código em busca de más práticas de programação, código duplicado, variáveis não utilizadas e outros problemas que podem levar a vulnerabilidades de segurança. O PMD também fornece sugestões de correção para os problemas encontrados.
### Checkstyle
### 3. Checkstyle
O Checkstyle é uma ferramenta de análise estática de código que pode ser usada para aplicar um conjunto de regras de codificação em um aplicativo Java. Ele verifica o código em busca de conformidade com essas regras e emite avisos sobre possíveis violações. O Checkstyle pode ajudar a manter um código consistente e de alta qualidade, além de identificar possíveis vulnerabilidades de segurança.
O Checkstyle é uma ferramenta de análise de código que verifica se o código Java está em conformidade com um conjunto de regras de codificação predefinidas. Ele pode ajudar a garantir que o código siga as melhores práticas de codificação e evite vulnerabilidades comuns. O Checkstyle pode ser configurado para verificar regras específicas, como o uso de chaves em blocos de código, a formatação correta de nomes de variáveis e métodos, entre outros.
### SonarQube
### 4. SonarQube
O SonarQube é uma plataforma de análise de código que pode ser usada para avaliar a qualidade do código em um aplicativo Java. Ele fornece uma visão geral abrangente das métricas de qualidade do código, incluindo vulnerabilidades de segurança, bugs, dívidas técnicas e muito mais. O SonarQube pode ajudar a identificar e corrigir problemas de segurança em um aplicativo Java, melhorando assim sua robustez e confiabilidade.
O SonarQube é uma plataforma de análise de código que suporta várias linguagens de programação, incluindo Java. Ele fornece uma análise abrangente do código-fonte, identificando problemas de qualidade de código, vulnerabilidades de segurança e dívidas técnicas. O SonarQube também oferece recursos avançados, como integração contínua e rastreamento de métricas de código ao longo do tempo.
### Dependency-Check
### 5. FindSecBugs
O Dependency-Check é uma ferramenta que pode ser usada para identificar dependências de terceiros em um aplicativo Java que possuem vulnerabilidades conhecidas. Ele verifica as dependências do aplicativo em busca de vulnerabilidades conhecidas e emite avisos sobre possíveis problemas. O Dependency-Check pode ajudar a garantir que as dependências utilizadas em um aplicativo Java estejam atualizadas e livres de vulnerabilidades conhecidas.
O FindSecBugs é uma extensão do FindBugs que se concentra especificamente em encontrar vulnerabilidades de segurança em aplicativos Java. Ele usa uma série de regras de segurança para identificar problemas comuns, como injeção de SQL, XSS (Cross-Site Scripting) e autenticação fraca. O FindSecBugs pode ser uma ferramenta útil para identificar e corrigir vulnerabilidades de segurança em um aplicativo Java.
### Conclusão
Ao realizar uma revisão de código em um aplicativo Java, é importante utilizar ferramentas de análise estática de código para identificar possíveis vulnerabilidades de segurança. O uso de ferramentas como o FindBugs, PMD, Checkstyle, SonarQube e Dependency-Check pode ajudar a melhorar a qualidade e a segurança do código Java, garantindo assim a robustez e confiabilidade do aplicativo.
Essas são apenas algumas das ferramentas de revisão de código disponíveis para Java. Ao realizar uma revisão de código, é importante usar uma combinação de ferramentas para obter uma análise abrangente do código e identificar possíveis vulnerabilidades de segurança.
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui
@ -497,7 +495,7 @@ Ferramentas
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? Ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do Telegram**](https://t.me/peass) ou **siga-me no Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**