20 KiB
Revisión de código fuente / Herramientas SAST
{% hint style="success" %}
Aprende y practica Hacking en AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Aprende y practica Hacking en GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Apoya a HackTricks
- Revisa los planes de suscripción!
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
- Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.
Guía y listas de herramientas
- https://owasp.org/www-community/Source_Code_Analysis_Tools
- https://github.com/analysis-tools-dev/static-analysis
Herramientas Multilenguaje
Naxus - AI-Gents
Hay un paquete gratuito para revisar PRs.
Semgrep
Es una herramienta de código abierto.
Lenguajes soportados
| Categoría | Lenguajes |
|---|---|
| GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta | Kotlin · Rust |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · |
Inicio Rápido
{% code overflow="wrap" %}
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep
# Go to your repo code and scan
cd repo
semgrep scan --config auto
{% endcode %}
También puedes usar la semgrep VSCode Extension para obtener los hallazgos dentro de VSCode.
SonarQube
Hay una versión gratuita instalable.
Inicio Rápido
{% code overflow="wrap" %}
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner
# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it
# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
{% endcode %}
CodeQL
Hay una versión gratuita instalable pero según la licencia, solo puedes usar la versión gratuita de codeQL en proyectos de código abierto.
Instalar
{% code overflow="wrap" %}
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz
# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql
# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz
# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc
# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
{% endcode %}
Inicio Rápido - Preparar la base de datos
{% hint style="success" %} Lo primero que necesitas hacer es preparar la base de datos (crear el árbol de código) para que luego las consultas se ejecuten sobre ella. {% endhint %}
- Puedes permitir que codeql identifique automáticamente el lenguaje del repositorio y cree la base de datos
{% code overflow="wrap" %}
codeql database create <database> --language <language>
# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
{% endcode %}
{% hint style="danger" %} Esto generalmente desencadenará un error diciendo que se especificaron (o se detectaron automáticamente) más de un idioma. ¡Verifica las siguientes opciones para solucionar esto! {% endhint %}
- Puedes hacer esto manualmente indicando el repo y el idioma (lista de idiomas)
{% code overflow="wrap" %}
codeql database create <database> --language <language> --source-root </path/to/repo>
# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
{% endcode %}
- Si tu repositorio está utilizando más de 1 idioma, también puedes crear 1 base de datos por idioma indicando cada idioma.
{% code overflow="wrap" %}
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
{% endcode %}
- También puedes permitir que
codeqlidentifique todos los lenguajes por ti y cree una base de datos por lenguaje. Necesitas darle un GITHUB_TOKEN.
{% code overflow="wrap" %}
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
{% endcode %}
Inicio Rápido - Analizar el código
{% hint style="success" %} Ahora es finalmente el momento de analizar el código {% endhint %}
Recuerda que si usaste varios lenguajes, se habría creado una base de datos por lenguaje en la ruta que especificaste.
{% code overflow="wrap" %}
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif
# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
{% endcode %}
Inicio Rápido - Scripted
{% code overflow="wrap" %}
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "
echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done
echo $FINAL_MSG
{% endcode %}
Puedes visualizar los hallazgos en https://microsoft.github.io/sarif-web-component/ o utilizando la extensión de VSCode SARIF viewer.
También puedes usar la extensión de VSCode para obtener los hallazgos dentro de VSCode. Aún necesitarás crear una base de datos manualmente, pero luego puedes seleccionar cualquier archivo y hacer clic en Right Click -> CodeQL: Run Queries in Selected Files
Snyk
Hay una versión gratuita instalable.
Quick Start
# Install
sudo npm install -g snyk
# Authenticate (you can use a free account)
snyk auth
# Test for open source vulns & license issues
snyk test [--all-projects]
# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code
# Test for vulns in images
snyk container test [image]
# Test for IaC vulns
snyk iac test
También puedes usar la snyk VSCode Extension para obtener hallazgos dentro de VSCode.
Insider
Es Open Source, pero parece no mantenido.
Lenguajes Soportados
Java (Maven y Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# y Javascript (Node.js).
Inicio Rápido
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript --target <projectfolder>
DeepSource
Gratis para repositorios públicos.
NodeJS
yarn
# Install
brew install yarn
# Run
cd /path/to/repo
yarn audit
npm audit
pnpm
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm audit
- nodejsscan: Escáner de código de seguridad estático (SAST) para aplicaciones Node.js impulsado por libsast y semgrep.
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
- RetireJS: El objetivo de Retire.js es ayudarte a detectar el uso de versiones de bibliotecas JS con vulnerabilidades conocidas.
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
Electron
- electronegativity: Es una herramienta para identificar configuraciones incorrectas y anti-patrones de seguridad en aplicaciones basadas en Electron.
Python
- Bandit: Bandit es una herramienta diseñada para encontrar problemas de seguridad comunes en el código Python. Para hacer esto, Bandit procesa cada archivo, construye un AST a partir de él y ejecuta los plugins apropiados contra los nodos del AST. Una vez que Bandit ha terminado de escanear todos los archivos, genera un informe.
# Install
pip3 install bandit
# Run
bandit -r <path to folder>
- safety: Safety verifica las dependencias de Python en busca de vulnerabilidades de seguridad conocidas y sugiere las remediaciones adecuadas para las vulnerabilidades detectadas. Safety se puede ejecutar en máquinas de desarrolladores, en pipelines de CI/CD y en sistemas de producción.
# Install
pip install safety
# Run
safety check
Pyt: Sin mantenimiento.
.NET
# dnSpy
https://github.com/0xd4d/dnSpy
# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
RUST
# Install
cargo install cargo-audit
# Run
cargo audit
#Update the Advisory Database
cargo audit fetch
Java
# JD-Gui
https://github.com/java-decompiler/jd-gui
# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
| Tarea | Comando |
|---|---|
| Ejecutar Jar | java -jar [jar] |
| Descomprimir Jar | unzip -d [directorio de salida] [jar] |
| Crear Jar | jar -cmf META-INF/MANIFEST.MF [jar de salida] * |
| Base64 SHA256 | sha256sum [archivo] | cut -d' ' -f1 | xxd -r -p | base64 |
| Eliminar Firma | rm META-INF/.SF META-INF/.RSA META-INF/*.DSA |
| Eliminar de Jar | zip -d [jar] [archivo a eliminar] |
| Descompilar clase | procyon -o . [ruta a la clase] |
| Descompilar Jar | procyon -jar [jar] -o [directorio de salida] |
| Compilar clase | javac [ruta al archivo .java] |
Ir
https://github.com/securego/gosec
PHP
Plugins de Wordpress
https://www.pluginvulnerabilities.com/plugin-security-checker/
Solidity
JavaScript
Descubrimiento
- Burp:
- Spider y descubrir contenido
- Sitemap > filtrar
- Sitemap > clic derecho en el dominio > Herramientas de compromiso > Encontrar scripts
waybackurls <domain> |grep -i "\.js" |sort -u
Análisis Estático
Desminimizar/Embellecer/Prettify
- https://prettier.io/playground/
- https://beautifier.io/
- Ver algunas de las herramientas mencionadas en 'Desofuscar/Desempaquetar' a continuación también.
Desofuscar/Desempaquetar
Nota: Puede que no sea posible desofuscar completamente.
- Encontrar y usar archivos .map:
- Si los archivos .map están expuestos, se pueden usar para desofuscar fácilmente.
- Comúnmente, foo.js.map se mapea a foo.js. Búscalos manualmente.
- Usa JS Miner para buscarlos.
- Asegúrate de que se realice un escaneo activo.
- Lee 'Consejos/Notas'
- Si se encuentran, usa Maximize para desofuscar.
- Sin archivos .map, prueba JSnice:
- Referencias: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
- Consejos:
- Si usas jsnice.org, haz clic en el botón de opciones junto al botón "Nicify JavaScript", y deselecciona "Infer types" para reducir el desorden en el código con comentarios.
- Asegúrate de no dejar líneas vacías antes del script, ya que puede afectar el proceso de desofuscación y dar resultados inexactos.
- Para algunas alternativas más modernas a JSNice, podrías mirar lo siguiente:
- https://github.com/pionxzh/wakaru
-
Kit de herramientas de descompilación, desempaquetado y desminimización de Javascript
Wakaru es el descompilador de Javascript para frontend moderno. Recupera el código original de una fuente empaquetada y transpileada.
- https://github.com/j4k0xb/webcrack
-
Desofuscar obfuscator.io, desminimizar y desempaquetar javascript empaquetado
- https://github.com/jehna/humanify
-
Desminimizar código Javascript usando ChatGPT
Esta herramienta utiliza modelos de lenguaje grandes (como ChatGPT y llama2) y otras herramientas para desminimizar código Javascript. Ten en cuenta que los LLM no realizan cambios estructurales; solo proporcionan pistas para renombrar variables y funciones. El trabajo pesado lo realiza Babel a nivel de AST para asegurar que el código se mantenga equivalente 1-1.
- https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html
-
Usando LLMs para revertir la minificación de nombres de variables de JavaScript
- Usa
console.log();
- Encuentra el valor de retorno al final y cámbialo a
console.log(<packerReturnVariable>);para que el js desofuscado se imprima en lugar de ejecutarse. - Luego, pega el js modificado (y aún ofuscado) en https://jsconsole.com/ para ver el js desofuscado registrado en la consola.
- Finalmente, pega la salida desofuscada en https://prettier.io/playground/ para embellecerla para análisis.
- Nota: Si aún ves js empaquetado (pero diferente), puede estar empaquetado recursivamente. Repite el proceso.
Referencias
- YouTube: DAST - Análisis Dinámico de Javascript
- https://blog.nvisium.com/angular-for-pentesters-part-1
- https://blog.nvisium.com/angular-for-pentesters-part-2
- devalias's GitHub Gists:
- Desofuscando / Desminimizando Código de Aplicaciones Web Ofuscadas
- Ingeniería Inversa de Aplicaciones Webpack
- etc
Herramientas
Referencias Menos Usadas
- https://cyberchef.org/
- https://olajs.com/javascript-prettifier
- https://jshint.com/
- https://github.com/jshint/jshint/
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.