Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 06:28:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-web/code-review-tools.md

20 KiB
Raw Blame History

Revisión de código fuente / Herramientas SAST

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Guía y listas de herramientas

Herramientas multi-lenguaje

Naxus - AI-Gents

Hay un paquete gratuito para revisar PRs.

Semgrep

Es una herramienta de código abierto.

Lenguajes compatibles

Categoría Lenguajes
GA C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta Kotlin · Rust
Experimental Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·

Inicio rápido

{% code overflow="wrap" %}

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

{% endcode %}

También puedes usar la extensión de semgrep para VSCode para obtener los resultados dentro de VSCode.

SonarQube

Hay una versión gratuita instalable.

Inicio rápido

{% code overflow="wrap" %}

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

{% endcode %}

Snyk

Hay una versión gratuita instalable.

Inicio rápido

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

También puedes usar la extensión de Snyk para VSCode para obtener resultados dentro de VSCode.

CodeQL

Existe una versión gratuita instalable.

Instalación

brew install codeql
# Check it's correctly installed
codeql resolve qlpacks

O

{% code overflow="wrap" %}

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks

Inicio rápido

{% code overflow="wrap" %}

# Prepare the database
## You need to export a GITHUB_TOKEN (codeql will detect languages automatically)
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>
## Or to indicate the languages yourself
codeql database create <database> --language=<language-identifier> --source-root </path/to/repo>
## For example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/to/repo # This will generate the folder /tmp/codeql_db

# Analyze the code
codeql database analyze <database> --format=<format> --output=</out/file/path>
# If you used --db-cluster a different db was created per language, you need to indicate it. In this example I analyze the javascript folder.
codeql database analyze /tmp/codeql_db/javascript --format=csv --output=/tmp/graphql_results.csv

# Get sarif format
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# You can visualize the findings in https://microsoft.github.io/sarif-web-component/

{% endcode %}

También puedes usar la extensión de VSCode para obtener los hallazgos dentro de VSCode. Aún necesitarás crear una base de datos manualmente, pero luego puedes seleccionar cualquier archivo y hacer clic en Click derecho -> CodeQL: Ejecutar consultas en archivos seleccionados

Insider

Es Open Source, pero parece no estar mantenido.

Lenguajes compatibles

Java (Maven y Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# y Javascript (Node.js).

Inicio rápido

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Gratis para repositorios públicos.

NodeJS

  • yarn
# Install
brew isntall yarn
# Run
cd /path/to/repo
yarn audit
  • nodejsscan: Escáner estático de código de seguridad (SAST) para aplicaciones Node.js impulsado por libsast y semgrep.
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
  • RetireJS: El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

  • electronegativity: Es una herramienta para identificar configuraciones incorrectas y patrones de seguridad en aplicaciones basadas en Electron.

Python

  • Bandit: Bandit es una herramienta diseñada para encontrar problemas de seguridad comunes en el código de Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta complementos apropiados contra los nodos AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.
# Install
pip3 install bandit

# Run
bandit -r <path to folder>
  • safety: Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las soluciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrollo, en tuberías de CI/CD y en sistemas de producción.
# Install
pip install safety
# Run
safety check
  • Pyt: Sin mantenimiento

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

Java

Java es un lenguaje de programación de alto nivel y orientado a objetos ampliamente utilizado en el desarrollo de aplicaciones web. Es conocido por su portabilidad y su capacidad para ejecutarse en diferentes plataformas sin necesidad de recompilación.

Revisión de código en Java

La revisión de código es una técnica importante en el proceso de pentesting de aplicaciones web escritas en Java. Permite identificar vulnerabilidades y errores en el código fuente que podrían ser explotados por un atacante.

Existen varias herramientas de revisión de código en Java que pueden ayudar en este proceso. Estas herramientas analizan el código fuente en busca de posibles problemas de seguridad, como vulnerabilidades de inyección de SQL, XSS (Cross-Site Scripting) y CSRF (Cross-Site Request Forgery), entre otros.

Algunas de las herramientas populares de revisión de código en Java son:

  • FindBugs: una herramienta de análisis estático que busca errores de programación y posibles problemas de seguridad en el código fuente.
  • PMD: una herramienta de análisis estático que busca patrones de código sospechosos y posibles problemas de seguridad.
  • Checkstyle: una herramienta que verifica si el código fuente cumple con las convenciones de codificación y las reglas de estilo definidas.

Estas herramientas pueden ser utilizadas durante el proceso de desarrollo para identificar y corregir posibles problemas de seguridad en el código fuente. También se pueden utilizar durante una auditoría de seguridad para evaluar la seguridad de una aplicación web escrita en Java.

Es importante tener en cuenta que la revisión de código es solo una parte del proceso de pentesting y no garantiza la ausencia de vulnerabilidades en una aplicación. Es recomendable combinar la revisión de código con otras técnicas de pentesting, como pruebas de penetración y análisis de vulnerabilidades, para obtener una evaluación completa de la seguridad de una aplicación web.

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
Tarea Comando
Ejecutar Jar java -jar [jar]
Descomprimir Jar unzip -d [directorio de salida] [jar]
Crear Jar jar -cmf META-INF/MANIFEST.MF [jar de salida] *
Base64 SHA256 sha256sum [archivo] | cut -d' ' -f1 | xxd -r -p | base64
Eliminar Firma rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
Eliminar del Jar zip -d [jar] [archivo a eliminar]
Descompilar clase procyon -o . [ruta de la clase]
Descompilar Jar procyon -jar [jar] -o [directorio de salida]
Compilar clase javac [ruta del archivo .java]

Go

https://github.com/securego/gosec

PHP

Psalm y PHPStan.

Plugins de Wordpress

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

JavaScript

Descubrimiento

  1. Burp:
  • Spider y descubrir contenido
  • Sitemap > filtrar
  • Sitemap > clic derecho en el dominio > Herramientas de compromiso > Encontrar scripts
  1. WaybackURLs:
  • waybackurls <dominio> |grep -i "\.js" |sort -u

Análisis estático

Desminificar/Embellecer/Reformatear

Desofuscar/Desempaquetar

Nota: Es posible que no sea posible desofuscar completamente.

  1. Encontrar y usar archivos .map:
  • Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
  • Comúnmente, foo.js.map se mapea a foo.js. Búscalos manualmente.
  • Usa JS Miner para buscarlos.
  • Asegúrate de realizar un escaneo activo.
  • Lee 'Consejos/Notas'
  • Si se encuentran, usa Maximize para desofuscar.
  1. Sin archivos .map, prueba con JSnice:
  • Referencias: http://jsnice.org/ y https://www.npmjs.com/package/jsnice
  • Consejos:
  • Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript" y desmarca "Infer types" para reducir el desorden en el código con comentarios.
  • Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.
  1. Usa console.log();
  • Encuentra el valor de retorno al final y cámbialo por console.log(<packerReturnVariable>); para que se imprima el JavaScript desofuscado en lugar de ejecutarse.
  • Luego, pega el JavaScript modificado (y aún ofuscado) en https://jsconsole.com/ para ver el JavaScript desofuscado registrado en la consola.
  • Finalmente, pega la salida desofuscada en https://prettier.io/playground/ para embellecerla y analizarla.
  • Nota: Si sigues viendo JavaScript empaquetado (pero diferente), puede estar empaquetado de forma recursiva. Repite el proceso.

Analizar

Referencias: https://medium.com/techiepedia/javascript-code-review-guide-for-bug-bounty-hunters-c95a8aa7037a

Busca:

  • Carga anti-depuración
  • Angular: enableProdMode
  • Secretos
  • Usa:
  • JS Miner
  • Patrones de RegHex
  • Patrones de gf
  • Busca patrones relevantes en el diccionario:
  • pass, user, admin
  • auth, login, sign, challenge, 2fa
  • key, apikey, api_key, api-key, jwt, token
  • secret, security, secure
  • ...
  • Revisión manual
  • Si se encuentra una clave de API, verifica aquí la sintaxis de uso potencial: https://github.com/streaak/keyhacks.
  • Funciones vulnerables
  • InnerHTML() - Si encuentras esto, significa que existe una posibilidad potencial de XSS si no se realiza una sanitización adecuada. Incluso si tu carga útil está sanitizada, no te preocupes. Rastrea el código para averiguar dónde se realiza la sanitización. Estúdialo e intenta evitar la sanitización.
  • Postmessage() - Si has leído mi publicación anterior (https://medium.com/techiepedia/what-are-sop-cors-and-ways-to-exploit-it-62a5e02100dc), te darás cuenta de que Postmessage() podría llevar a un posible problema de CORS. Si el segundo parámetro de la función está configurado como *, eres afortunado. Consulta mi publicación anterior para comprender más sobre el mecanismo detrás de esto.
  • String.prototype.search() - Esta función parece normal. ¿Por qué sería una función peligrosa? Bueno, es porque algunos desarrolladores la usan para buscar la aparición de una cadena dentro de otra cadena. Sin embargo, "." se trata como comodín en esta función. Entonces, si esta función se usa como verificación de sanitización, simplemente puedes evitarla ingresando ".". Consulta el informe de Filedescryptor en hackerone: https://hackerone.com/reports/129873
  • Endpoints y parámetros
  • Usa LinkFinder y JS Miner.
  • Bibliotecas y dependencias vulnerables
  • Usa Retire.js y NPM (desplázate hacia abajo hasta la sección de seguridad > enlace de todas las versiones).
  • URLs de la nube
  • Usa JS Miner.
  • Subdominios
  • Usa JS Miner.
  • Fallas de lógica
  • Obtén conciencia de la situación:
  • use strict;?
  • Busca controles del lado del cliente:
  • disable, enable, hidden, hide, show
  • catch, finally, throw, try
  • input, validate, verify, valid, correct, check, confirm, require, ..
  • Busca no primitivos:
  • function , =>
  • class

Análisis dinámico

Referencias

Herramientas

Referencias menos utilizadas

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥