24 KiB
Revisão de Código Fonte / Ferramentas SAST
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e repositório hacktricks-cloud.
Orientação e Listas de Ferramentas
- https://owasp.org/www-community/Source_Code_Analysis_Tools
- https://github.com/analysis-tools-dev/static-analysis
Ferramentas Multi-Linguagem
Naxus - AI-Gents
Existe um pacote gratuito para revisar PRs.
Semgrep
É uma ferramenta de código aberto.
Linguagens Suportadas
Categoria | Linguagens |
---|---|
GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
Beta | Kotlin · Rust |
Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · |
Início Rápido
{% code overflow="wrap" %}
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep
# Go to your repo code and scan
cd repo
semgrep scan --config auto
{% endcode %}
Você também pode usar a extensão semgrep para o VSCode para obter os resultados dentro do VSCode.
SonarQube
Existe uma versão gratuita instalável.
Início Rápido
{% code overflow="wrap" %}
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner
# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it
# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
{% endcode %}
CodeQL
Existe uma versão gratuita instalável.
Instalação
{% code overflow="wrap" %}
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz
# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql
# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz
# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc
# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
{% endcode %}
Início rápido - Preparar o banco de dados
{% hint style="success" %} A primeira coisa que você precisa fazer é preparar o banco de dados (criar a árvore de código) para que as consultas possam ser executadas nele posteriormente. {% endhint %}
- Você pode permitir que o codeql identifique automaticamente o idioma do repositório e crie o banco de dados
{% code overflow="wrap" %}
codeql database create <database> --language <language>
# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
{% endcode %}
{% hint style="danger" %} Isso geralmente irá disparar um erro dizendo que mais de um idioma foi especificado (ou detectado automaticamente). Verifique as opções a seguir para corrigir isso! {% endhint %}
- Você pode fazer isso indicando manualmente o repositório e o idioma (lista de idiomas)
{% code overflow="wrap" %}
codeql database create <database> --language <language> --source-root </path/to/repo>
# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
{% endcode %}
- Se o seu repositório estiver usando mais de 1 linguagem, você também pode criar 1 banco de dados por linguagem indicando cada linguagem.
{% code overflow="wrap" %}
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
{% endcode %}
- Você também pode permitir que o
codeql
identifique todas as linguagens para você e crie um banco de dados por linguagem. Você precisa fornecer um GITHUB_TOKEN.
{% code overflow="wrap" %}
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
{% endcode %}
Início rápido - Analisar o código
{% hint style="success" %} Agora é finalmente hora de analisar o código {% endhint %}
Lembre-se de que se você usou várias linguagens, um BD por linguagem teria sido criado no caminho que você especificou.
{% code overflow="wrap" %}
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif
# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
Início Rápido - Scriptado
{% code overflow="wrap" %}
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "
echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done
echo $FINAL_MSG
{% endcode %}
Você pode visualizar as descobertas em https://microsoft.github.io/sarif-web-component/ ou usando a extensão do VSCode SARIF viewer.
Você também pode usar a extensão do VSCode para obter as descobertas dentro do VSCode. Ainda será necessário criar um banco de dados manualmente, mas depois você pode selecionar qualquer arquivo e clicar em Right Click
-> CodeQL: Run Queries in Selected Files
Snyk
Existe uma versão gratuita instalável.
Início Rápido
# Install
sudo npm install -g snyk
# Authenticate (you can use a free account)
snyk auth
# Test for open source vulns & license issues
snyk test [--all-projects]
# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code
# Test for vulns in images
snyk container test [image]
# Test for IaC vulns
snyk iac test
Você também pode usar a Extensão snyk para o VSCode para obter resultados dentro do VSCode.
Insider
É Open Source, mas parece desatualizado.
Linguagens Suportadas
Java (Maven e Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# e Javascript (Node.js).
Início Rápido
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript --target <projectfolder>
DeepSource
Grátis para repositórios públicos.
NodeJS
yarn
# Install
brew isntall yarn
# Run
cd /path/to/repo
yarn audit
npm audit
- nodejsscan: Scanner estático de código de segurança (SAST) para aplicações Node.js alimentado por libsast e semgrep.
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
- RetireJS: O objetivo do Retire.js é ajudar a detectar o uso de versões de bibliotecas JS com vulnerabilidades conhecidas.
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
Electron
- electronegativity: É uma ferramenta para identificar configurações incorretas e padrões de segurança em aplicativos baseados em Electron.
Python
- Bandit: Bandit é uma ferramenta projetada para encontrar problemas de segurança comuns em código Python. Para fazer isso, o Bandit processa cada arquivo, constrói uma AST a partir dele e executa plugins apropriados nos nós da AST. Uma vez que o Bandit tenha terminado de escanear todos os arquivos, ele gera um relatório.
# Install
pip3 install bandit
# Run
bandit -r <path to folder>
- safety: O Safety verifica as dependências do Python em busca de vulnerabilidades de segurança conhecidas e sugere as devidas correções para as vulnerabilidades detectadas. O Safety pode ser executado em máquinas de desenvolvimento, em pipelines de CI/CD e em sistemas de produção.
# Install
pip install safety
# Run
safety check
Pyt: Não mantido
.NET
# dnSpy
https://github.com/0xd4d/dnSpy
# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
Java
Java é uma linguagem de programação popular que é amplamente utilizada para desenvolvimento de aplicativos web. Ao realizar uma revisão de código em um aplicativo Java, existem várias ferramentas úteis que podem ajudar a identificar possíveis vulnerabilidades de segurança. Nesta seção, discutiremos algumas dessas ferramentas.
FindBugs
O FindBugs é uma ferramenta de análise estática de código que pode ser usada para identificar possíveis bugs e vulnerabilidades em um código Java. Ele examina o código em busca de padrões conhecidos de erros e emite avisos sobre possíveis problemas. O FindBugs pode ajudar a identificar vulnerabilidades comuns, como uso incorreto de APIs, problemas de segurança de dados e erros de programação.
PMD
O PMD é outra ferramenta de análise estática de código que pode ser usada para identificar problemas de código em um aplicativo Java. Ele verifica o código em busca de más práticas de programação, código duplicado, variáveis não utilizadas e outros problemas de qualidade de código. O PMD pode ajudar a melhorar a legibilidade e a manutenibilidade do código, além de identificar possíveis vulnerabilidades.
Checkstyle
O Checkstyle é uma ferramenta de análise estática de código que pode ser usada para aplicar um conjunto de regras de codificação em um aplicativo Java. Ele verifica o código em busca de conformidade com essas regras e emite avisos sobre possíveis violações. O Checkstyle pode ajudar a manter um código consistente e de alta qualidade, além de identificar possíveis vulnerabilidades de segurança.
SonarQube
O SonarQube é uma plataforma de análise de código que pode ser usada para avaliar a qualidade do código em um aplicativo Java. Ele fornece uma visão geral abrangente das métricas de qualidade do código, incluindo vulnerabilidades de segurança, bugs, dívidas técnicas e muito mais. O SonarQube pode ajudar a identificar e corrigir problemas de segurança em um aplicativo Java, melhorando assim sua robustez e confiabilidade.
Dependency-Check
O Dependency-Check é uma ferramenta que pode ser usada para identificar dependências de terceiros em um aplicativo Java que possuem vulnerabilidades conhecidas. Ele verifica as dependências do aplicativo em busca de vulnerabilidades conhecidas e emite avisos sobre possíveis problemas. O Dependency-Check pode ajudar a garantir que as dependências utilizadas em um aplicativo Java estejam atualizadas e livres de vulnerabilidades conhecidas.
Conclusão
Ao realizar uma revisão de código em um aplicativo Java, é importante utilizar ferramentas de análise estática de código para identificar possíveis vulnerabilidades de segurança. O uso de ferramentas como o FindBugs, PMD, Checkstyle, SonarQube e Dependency-Check pode ajudar a melhorar a qualidade e a segurança do código Java, garantindo assim a robustez e confiabilidade do aplicativo.
# JD-Gui
https://github.com/java-decompiler/jd-gui
# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
Tarefa | Comando |
---|---|
Executar Jar | java -jar [jar] |
Descompactar Jar | unzip -d [diretório de saída] [jar] |
Criar Jar | jar -cmf META-INF/MANIFEST.MF [jar de saída] * |
Base64 SHA256 | sha256sum [arquivo] | cut -d' ' -f1 | xxd -r -p | base64 |
Remover Assinatura | rm META-INF/.SF META-INF/.RSA META-INF/*.DSA |
Excluir do Jar | zip -d [jar] [arquivo a ser removido] |
Descompilar classe | procyon -o . [caminho para a classe] |
Descompilar Jar | procyon -jar [jar] -o [diretório de saída] |
Compilar classe | javac [caminho para o arquivo .java] |
Go
https://github.com/securego/gosec
PHP
Plugins do Wordpress
https://www.pluginvulnerabilities.com/plugin-security-checker/
Solidity
JavaScript
Descoberta
- Burp:
- Spider e descobrir conteúdo
- Sitemap > filtro
- Sitemap > clique com o botão direito no domínio > Ferramentas de engajamento > Encontrar scripts
waybackurls <domínio> |grep -i "\.js" |sort -u
Análise Estática
Desminificar/Embelezar/Formatar
Desofuscar/Descompactar
Observação: Pode não ser possível desofuscar completamente.
- Encontre e use arquivos .map:
- Se os arquivos .map estiverem expostos, eles podem ser usados para desofuscar facilmente.
- Comumente, foo.js.map mapeia para foo.js. Procure manualmente por eles.
- Use JS Miner para procurá-los.
- Certifique-se de realizar uma varredura ativa.
- Leia 'Dicas/Notas'
- Se encontrados, use Maximize para desofuscar.
- Sem arquivos .map, tente o JSnice:
- Referências: http://jsnice.org/ e https://www.npmjs.com/package/jsnice
- Dicas:
- Se estiver usando jsnice.org, clique no botão de opções ao lado do botão "Nicify JavaScript" e desmarque "Infer types" para reduzir a desordem no código com comentários.
- Certifique-se de não deixar nenhuma linha vazia antes do script, pois isso pode afetar o processo de desofuscação e fornecer resultados imprecisos.
- Use console.log();
- Encontre o valor de retorno no final e altere-o para
console.log(<packerReturnVariable>);
para que o js desofuscado seja impresso em vez de ser executado. - Em seguida, cole o js modificado (ainda ofuscado) em https://jsconsole.com/ para ver o js desofuscado registrado no console.
- Por fim, cole a saída desofuscada em https://prettier.io/playground/ para formatá-la para análise.
- Observação: Se você ainda estiver vendo js empacotado (mas diferente), pode ser empacotado recursivamente. Repita o processo.
Analisar
Referências: https://medium.com/techiepedia/javascript-code-review-guide-for-bug-bounty-hunters-c95a8aa7037a
Procure por:
- Carregamento anti-de depuração
- Angular: enableProdMode
- Segredos
- Use:
- JS Miner
- Padrões RegHex
- Padrões gf
- Procure por padrões relevantes no dicionário:
- pass, user, admin
- auth, login, sign, challenge, 2fa
- key, apikey, api_key, api-key, jwt, token
- secret, security, secure
- ...
- Revisão manual
- Se a chave da API for encontrada, verifique aqui a sintaxe de uso potencial: https://github.com/streaak/keyhacks.
- Funções vulneráveis
- InnerHTML() - Se você encontrar isso, significa que há uma chance potencial de XSS se não houver uma sanitização adequada. Mesmo que sua carga útil esteja sanitizada, não se preocupe. Rastreie o código para descobrir onde ocorre a sanitização. Estude-o e tente contornar a sanitização.
- Postmessage() - Se você leu meu post anterior (https://medium.com/techiepedia/what-are-sop-cors-and-ways-to-exploit-it-62a5e02100dc), você perceberia que o Postmessage() pode levar a um possível problema de CORS. Se o segundo parâmetro da função for definido como *, você é o sortudo. Confira meu post anterior para entender mais sobre o mecanismo por trás disso.
- String.prototype.search() - Essa função parece normal. Por que seria uma função perigosa? Bem, é porque alguns desenvolvedores a usaram para encontrar a ocorrência de uma string dentro de outra string. No entanto, "." é tratado como caractere curinga nessa função. Portanto, se essa função for usada como verificação de sanitização, você pode simplesmente contorná-la inserindo ".". Confira o relatório do hackerone do Filedescryptor: https://hackerone.com/reports/129873
- Endpoints e parâmetros
- Use LinkFinder e JS Miner.
- Bibliotecas e dependências vulneráveis
- Use Retire.js e NPM (role para baixo até a seção de segurança > link de todas as versões).
- URLs de nuvem
- Use JS Miner.
- Subdomínios
- Use JS Miner.
- Falhas de lógica
- Obtenha conhecimento situacional:
use strict;
?- Procure por controles do lado do cliente:
- disable, enable, hidden, hide, show
- catch, finally, throw, try
- input, validate, verify, valid, correct, check, confirm, require, ..
- Procure por não primitivos:
- function , =>
- class
Análise Dinâmica
Referências
- https://www.youtube.com/watch?v=_v8r_t4v6hQ
- https://blog.nvisium.com/angular-for-pentesters-part-1
- https://blog.nvisium.com/angular-for-pentesters-part-2
Ferramentas
Referências Menos Usadas
- https://cyberchef.org/
- https://olajs.com/javascript-prettifier
- https://jshint.com/
- https://github.com/jshint/jshint/
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de cibersegurança? Você quer ver sua empresa anunciada no HackTricks? Ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do Telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e o repositório hacktricks-cloud.