Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['network-services-pentesting/pentesting-web/code-review-tool

Browse source
This commit is contained in:
Translator 2023-09-05 17:49:24 +00:00
parent 0148b0a462
commit baded7debb
1 changed files with 13 additions and 17 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

30
network-services-pentesting/pentesting-web/code-review-tools.md
View file

@ -140,7 +140,7 @@ codeql database create /path/repo/codeql_db --language javascript --source-root
```
{% endcode %}
* Si tu repositorio está utilizando **más de 1 lenguaje**, también puedes crear **1 BD por lenguaje** indicando cada lenguaje.
* Si tu repositorio está utilizando **más de 1 lenguaje**, también puedes crear **1 base de datos por lenguaje** indicando cada lenguaje.
{% code overflow="wrap" %}
```bash
@ -248,7 +248,7 @@ snyk container test [image]
# Test for IaC vulns
snyk iac test
```
También puedes usar la [**Extensión de Snyk para VSCode**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) para obtener resultados dentro de VSCode.
También puedes utilizar la [**extensión de Snyk para VSCode**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) para obtener resultados dentro de VSCode.
### [Insider](https://github.com/insidersec/insider)
@ -275,7 +275,7 @@ Gratis para **repositorios públicos**.
* **`yarn`**
```bash
# Install
brew isntall yarn
brew install yarn
# Run
cd /path/to/repo
yarn audit
@ -317,7 +317,7 @@ pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): Sin mantenimiento
* [~~**Pyt**~~](https://github.com/python-security/pyt): Sin mantenimiento.
## .NET
```bash
@ -329,25 +329,21 @@ C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## Java
Java es un lenguaje de programación de alto nivel y orientado a objetos ampliamente utilizado en el desarrollo de aplicaciones web. A continuación se presentan algunas herramientas de revisión de código que pueden ser útiles durante el proceso de pentesting de aplicaciones web escritas en Java.
Java es un lenguaje de programación de alto nivel y orientado a objetos ampliamente utilizado en el desarrollo de aplicaciones web. Es conocido por su portabilidad y su capacidad para ejecutarse en diferentes plataformas sin necesidad de recompilación.
### 1. FindBugs
### Revisión de código en Java
FindBugs es una herramienta de análisis estático de código que busca defectos comunes en el código Java. Puede detectar problemas como el uso incorrecto de variables, condiciones de carrera y errores de programación. FindBugs proporciona informes detallados sobre los problemas encontrados, lo que facilita su corrección.
La revisión de código es una técnica importante en el proceso de pentesting de aplicaciones web escritas en Java. Permite identificar vulnerabilidades y errores en el código fuente que podrían ser explotados por un atacante.
### 2. PMD
Existen varias herramientas de revisión de código en Java que pueden ayudar en este proceso. Estas herramientas analizan el código fuente en busca de posibles problemas de seguridad, como vulnerabilidades de inyección de SQL, XSS (Cross-Site Scripting) y deserialización no segura.
PMD es otra herramienta de análisis estático de código que se utiliza para buscar problemas en el código Java. Puede detectar problemas como código duplicado, variables no utilizadas y malas prácticas de programación. PMD también proporciona informes detallados y sugerencias para corregir los problemas encontrados.
Algunas de las herramientas populares de revisión de código en Java son:
### 3. Checkstyle
- [FindBugs](https://findbugs.sourceforge.io/): una herramienta de análisis estático que busca errores de programación en el código fuente de Java.
- [SonarQube](https://www.sonarqube.org/): una plataforma de análisis de código que proporciona informes detallados sobre la calidad y seguridad del código fuente.
- [Checkstyle](https://checkstyle.sourceforge.io/): una herramienta que verifica si el código Java cumple con las convenciones de codificación y las reglas de estilo definidas.
Checkstyle es una herramienta de revisión de código que se utiliza para garantizar que el código Java cumpla con ciertas convenciones de codificación. Puede verificar el estilo de codificación, la estructura del código y la calidad del código. Checkstyle proporciona informes detallados sobre las violaciones encontradas y sugiere formas de corregirlas.
### 4. SonarQube
SonarQube es una plataforma de análisis de código que se utiliza para evaluar la calidad del código Java. Proporciona métricas de calidad del código, como la complejidad ciclomática, la duplicación de código y la cobertura de pruebas. SonarQube también puede detectar problemas de seguridad en el código Java, como vulnerabilidades conocidas y posibles puntos débiles.
Estas herramientas de revisión de código pueden ayudar a identificar posibles vulnerabilidades y problemas de seguridad en las aplicaciones web escritas en Java. Es importante utilizar estas herramientas durante el proceso de pentesting para garantizar la seguridad y la calidad del código.
Estas herramientas pueden ayudar a los pentesters a identificar posibles vulnerabilidades y mejorar la seguridad de las aplicaciones web escritas en Java. Es importante utilizar estas herramientas de manera regular y realizar revisiones de código periódicas para mantener la seguridad de las aplicaciones.
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui