hacktricks/network-services-pentesting/pentesting-web/code-review-tools.md

# Quellcode-Überprüfung / SAST-Tools

{% hint style="success" %}
Lernen & üben Sie AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Lernen & üben Sie GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Unterstützen Sie HackTricks</summary>

* Überprüfen Sie die [**Abonnementpläne**](https://github.com/sponsors/carlospolop)!
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repos senden.

</details>
{% endhint %}

## Anleitung und Listen von Tools

* [**https://owasp.org/www-community/Source\_Code\_Analysis\_Tools**](https://owasp.org/www-community/Source\_Code\_Analysis\_Tools)
* [**https://github.com/analysis-tools-dev/static-analysis**](https://github.com/analysis-tools-dev/static-analysis)

## Mehrsprachige Tools

### [Naxus - AI-Gents](https://www.naxusai.com/)

Es gibt ein **kostenloses Paket zur Überprüfung von PRs**.

### [**Semgrep**](https://github.com/returntocorp/semgrep)

Es ist ein **Open Source-Tool**.

#### Unterstützte Sprachen

| Kategorie    | Sprachen                                                                                             |
| ------------ | ----------------------------------------------------------------------------------------------------- |
| GA           | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta         | Kotlin · Rust                                                                                         |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·               |

#### Schnellstart

{% code overflow="wrap" %}
```bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto
```
{% endcode %}

Sie können auch die [**semgrep VSCode-Erweiterung**](https://marketplace.visualstudio.com/items?itemName=Semgrep.semgrep) verwenden, um die Ergebnisse in VSCode zu erhalten.

### [**SonarQube**](https://www.sonarsource.com/products/sonarqube/downloads/)

Es gibt eine installierbare **kostenlose Version**.

#### Schnellstart

{% code overflow="wrap" %}
```bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
```
{% endcode %}

### CodeQL

Es gibt eine **installierbare kostenlose Version**, aber laut der Lizenz dürfen Sie die **kostenlose CodeQL-Version nur in Open-Source-Projekten verwenden**.

#### Installieren

{% code overflow="wrap" %}
```bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
```
{% endcode %}

#### Schnellstart - Bereiten Sie die Datenbank vor

{% hint style="success" %}
Das erste, was Sie tun müssen, ist, die **Datenbank vorzubereiten** (den Codebaum zu erstellen), damit später die Abfragen darüber ausgeführt werden.
{% endhint %}

* Sie können codeql erlauben, die Sprache des Repos automatisch zu identifizieren und die Datenbank zu erstellen

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

{% hint style="danger" %}
Dies **wird normalerweise einen Fehler auslösen**, der besagt, dass mehr als eine Sprache angegeben (oder automatisch erkannt) wurde. **Überprüfen Sie die nächsten Optionen**, um dies zu beheben!
{% endhint %}

* Sie können dies **manuell angeben**, indem Sie das **Repo** und die **Sprache** angeben ([Liste der Sprachen](https://docs.github.com/en/code-security/codeql-cli/getting-started-with-the-codeql-cli/preparing-your-code-for-codeql-analysis#running-codeql-database-create))

{% code overflow="wrap" %}
```bash
codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
```
{% endcode %}

* Wenn Ihr Repo **mehr als 1 Sprache** verwendet, können Sie auch **1 DB pro Sprache** erstellen, die jede Sprache angibt.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

* Sie können auch `codeql` erlauben, **alle Sprachen** für Sie zu **identifizieren** und eine DB pro Sprache zu erstellen. Sie müssen ihm ein **GITHUB\_TOKEN** geben.

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
```
{% endcode %}

#### Schnellstart - Analysiere den Code

{% hint style="success" %}
Jetzt ist es endlich Zeit, den Code zu analysieren
{% endhint %}

Denke daran, dass, wenn du mehrere Sprachen verwendet hast, **eine DB pro Sprache** im angegebenen Pfad erstellt worden wäre.

{% code overflow="wrap" %}
```bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
```
{% endcode %}

#### Schnellstart - Skriptiert

{% code overflow="wrap" %}
```bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG
```
{% endcode %}

Sie können die Ergebnisse in [**https://microsoft.github.io/sarif-web-component/**](https://microsoft.github.io/sarif-web-component/) oder mit der VSCode-Erweiterung [**SARIF viewer**](https://marketplace.visualstudio.com/items?itemName=MS-SarifVSCode.sarif-viewer) visualisieren.

Sie können auch die [**VSCode-Erweiterung**](https://marketplace.visualstudio.com/items?itemName=GitHub.vscode-codeql) verwenden, um die Ergebnisse in VSCode zu erhalten. Sie müssen jedoch manuell eine Datenbank erstellen, aber dann können Sie beliebige Dateien auswählen und auf `Rechtsklick` -> `CodeQL: Abfragen in ausgewählten Dateien ausführen` klicken.

### [**Snyk**](https://snyk.io/product/snyk-code/)

Es gibt eine **installierbare kostenlose Version**.

#### Schnellstart
```bash
# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test
```
Sie können auch die [**snyk VSCode Extension**](https://marketplace.visualstudio.com/items?itemName=snyk-security.snyk-vulnerability-scanner) verwenden, um Ergebnisse innerhalb von VSCode zu erhalten.

### [Insider](https://github.com/insidersec/insider)

Es ist **Open Source**, sieht aber **nicht gewartet** aus.

#### Unterstützte Sprachen

Java (Maven und Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# und Javascript (Node.js).

#### Schnellstart
```bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>
```
### [**DeepSource**](https://deepsource.com/pricing)&#x20;

Kostenlos für **öffentliche Repos**.

## NodeJS

* **`yarn`**
```bash
# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit
```
* **`pnpm`**
```bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
```
* [**nodejsscan**](https://github.com/ajinabraham/nodejsscan)**:** Statischer Sicherheitscode-Scanner (SAST) für Node.js-Anwendungen, unterstützt von [libsast](https://github.com/ajinabraham/libsast) und [semgrep](https://github.com/returntocorp/semgrep).
```bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
```
* [**RetireJS**](https://github.com/RetireJS/retire.js)**:** Das Ziel von Retire.js ist es, Ihnen zu helfen, die Verwendung von JS-Bibliotheksversionen mit bekannten Sicherheitsanfälligkeiten zu erkennen.
```bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
```
## Electron

* [**electronegativity**](https://github.com/doyensec/electronegativity)**:** Es ist ein Tool zur Identifizierung von Fehlkonfigurationen und Sicherheits-Anti-Patterns in auf Electron basierenden Anwendungen.

## Python

* [**Bandit**](https://github.com/PyCQA/bandit)**:** Bandit ist ein Tool, das entwickelt wurde, um häufige Sicherheitsprobleme im Python-Code zu finden. Dazu verarbeitet Bandit jede Datei, erstellt einen AST daraus und führt geeignete Plugins gegen die AST-Knoten aus. Sobald Bandit das Scannen aller Dateien abgeschlossen hat, erstellt es einen Bericht.
```bash
# Install
pip3 install bandit

# Run
bandit -r <path to folder>
```
* [**safety**](https://github.com/pyupio/safety): Safety überprüft Python-Abhängigkeiten auf bekannte Sicherheitsanfälligkeiten und schlägt die geeigneten Maßnahmen zur Behebung der festgestellten Schwachstellen vor. Safety kann auf Entwicklermaschinen, in CI/CD-Pipelines und auf Produktionssystemen ausgeführt werden.
```bash
# Install
pip install safety
# Run
safety check
```
* [~~**Pyt**~~](https://github.com/python-security/pyt): Nicht mehr gewartet.

## .NET
```bash
# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
```
## RUST
```bash
# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch
```
## Java
```bash
# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
```
| Aufgabe          | Befehl                                                   |
| ---------------- | -------------------------------------------------------- |
| Jar ausführen    | java -jar \[jar]                                        |
| Jar entpacken    | unzip -d \[output directory] \[jar]                     |
| Jar erstellen     | jar -cmf META-INF/MANIFEST.MF \[output jar] \*          |
| Base64 SHA256    | sha256sum \[file] \| cut -d' ' -f1 \| xxd -r -p \| base64 |
| Signatur entfernen| rm META-INF/_.SF META-INF/_.RSA META-INF/\*.DSA         |
| Aus Jar löschen   | zip -d \[jar] \[file to remove]                         |
| Klasse dekompilieren| procyon -o . \[path to class]                          |
| Jar dekompilieren | procyon -jar \[jar] -o \[output directory]              |
| Klasse kompilieren | javac \[path to .java file]                             |

## Gehe
```bash
https://github.com/securego/gosec
```
## PHP

[Psalm](https://phpmagazine.net/2018/12/find-errors-in-your-php-applications-with-psalm.html) und [PHPStan](https://phpmagazine.net/2020/09/phpstan-pro-edition-launched.html).

### Wordpress Plugins

[https://www.pluginvulnerabilities.com/plugin-security-checker/](https://www.pluginvulnerabilities.com/plugin-security-checker/)

## Solidity

* [https://www.npmjs.com/package/solium](https://www.npmjs.com/package/solium)

## JavaScript

### Discovery

1. Burp:
* Spider und entdecke Inhalte
* Sitemap > Filter
* Sitemap > Rechtsklick auf die Domain > Engagement-Tools > Skripte finden
2. [WaybackURLs](https://github.com/tomnomnom/waybackurls):
* `waybackurls <domain> |grep -i "\.js" |sort -u`

### Static Analysis

#### Unminimize/Beautify/Prettify

* [https://prettier.io/playground/](https://prettier.io/playground/)
* [https://beautifier.io/](https://beautifier.io/)
* Siehe einige der in 'Deobfuscate/Unpack' unten genannten Tools.

#### Deobfuscate/Unpack

**Hinweis**: Es ist möglicherweise nicht möglich, vollständig zu deobfuskieren.

1. Finde und benutze .map-Dateien:
* Wenn die .map-Dateien exponiert sind, können sie verwendet werden, um leicht zu deobfuskieren.
* Häufig mappt foo.js.map auf foo.js. Manuell danach suchen.
* Verwende [JS Miner](https://github.com/PortSwigger/js-miner), um danach zu suchen.
* Stelle sicher, dass ein aktiver Scan durchgeführt wird.
* Lies '[Tipps/Notizen](https://github.com/minamo7sen/burp-JS-Miner/wiki#tips--notes)'
* Wenn gefunden, benutze [Maximize](https://www.npmjs.com/package/maximize), um zu deobfuskieren.
2. Ohne .map-Dateien, versuche JSnice:
* Referenzen: [http://jsnice.org/](http://jsnice.org/) & [https://www.npmjs.com/package/jsnice](https://www.npmjs.com/package/jsnice)
* Tipps:
* Wenn du jsnice.org verwendest, klicke auf die Optionsschaltfläche neben der Schaltfläche "Nicify JavaScript" und deaktiviere "Infer types", um das Code-Commenting zu reduzieren.
* Stelle sicher, dass du keine leeren Zeilen vor dem Skript lässt, da dies den Deobfuskationsprozess beeinträchtigen und ungenaue Ergebnisse liefern kann.
4. Für einige modernere Alternativen zu JSNice könntest du dir Folgendes ansehen:
* [https://github.com/pionxzh/wakaru](https://github.com/pionxzh/wakaru)
* > Javascript-Dekompilierer, Unpacker und Unminify-Toolkit
> Wakaru ist der Javascript-Dekompilierer für modernes Frontend. Es stellt den ursprünglichen Code aus einer gebündelten und transpilierten Quelle wieder her.
* [https://github.com/j4k0xb/webcrack](https://github.com/j4k0xb/webcrack)
* > Deobfuscate obfuscator.io, unminify und unpack gebündeltes Javascript
* [https://github.com/jehna/humanify](https://github.com/jehna/humanify)
* > Un-minify Javascript-Code mit ChatGPT
> Dieses Tool verwendet große Sprachmodelle (wie ChatGPT & llama2) und andere Tools, um Javascript-Code zu un-minifizieren. Beachte, dass LLMs keine strukturellen Änderungen vornehmen – sie geben nur Hinweise zur Umbenennung von Variablen und Funktionen. Die schwere Arbeit wird von Babel auf AST-Ebene erledigt, um sicherzustellen, dass der Code 1-1 äquivalent bleibt.
* [https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html](https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html)
* > Verwendung von LLMs zur Rückgängigmachung der Minifizierung von JavaScript-Variablen
3. Verwende `console.log()`;
* Finde den Rückgabewert am Ende und ändere ihn in `console.log(<packerReturnVariable>);`, damit das deobfuskierte js anstelle der Ausführung gedruckt wird.
* Füge dann das modifizierte (und immer noch obfuskierte) js in [https://jsconsole.com/](https://jsconsole.com/) ein, um das deobfuskierte js in der Konsole zu sehen.
* Schließlich füge die deobfuskierte Ausgabe in [https://prettier.io/playground/](https://prettier.io/playground/) ein, um sie für die Analyse zu verschönern.
* **Hinweis**: Wenn du immer noch gepacktes (aber anderes) js siehst, könnte es rekursiv gepackt sein. Wiederhole den Prozess.

#### References

* [YouTube: DAST - Javascript Dynamic Analysis](https://www.youtube.com/watch?v=_v8r_t4v6hQ)
* [https://blog.nvisium.com/angular-for-pentesters-part-1](https://web.archive.org/web/20221226054137/https://blog.nvisium.com/angular-for-pentesters-part-1)
* [https://blog.nvisium.com/angular-for-pentesters-part-2](https://web.archive.org/web/20230204012439/https://blog.nvisium.com/angular-for-pentesters-part-2)
* [devalias](https://twitter.com/_devalias)'s [GitHub Gists](https://gist.github.com/0xdevalias):
* [Deobfuscating / Unminifying Obfuscated Web App Code](https://gist.github.com/0xdevalias/d8b743efb82c0e9406fc69da0d6c6581#deobfuscating--unminifying-obfuscated-web-app-code)
* [Reverse Engineering Webpack Apps](https://gist.github.com/0xdevalias/8c621c5d09d780b1d321bfdb86d67cdd#reverse-engineering-webpack-apps)
* [etc](https://gist.github.com/search?q=user:0xdevalias+javascript)

#### Tools

* [https://portswigger.net/burp/documentation/desktop/tools/dom-invader](https://portswigger.net/burp/documentation/desktop/tools/dom-invader)

#### Less Used References

* [https://cyberchef.org/](https://cyberchef.org/)
* [https://olajs.com/javascript-prettifier](https://olajs.com/javascript-prettifier)
* [https://jshint.com/](https://jshint.com/)
* [https://github.com/jshint/jshint/](https://github.com/jshint/jshint/)

{% hint style="success" %}
Lerne & übe AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Lerne & übe GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Überprüfe die [**Abonnementpläne**](https://github.com/sponsors/carlospolop)!
* **Tritt der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folge** uns auf **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Teile Hacking-Tricks, indem du PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repos einreichst.

</details>
{% endhint %}