Kaynak kodu İncelemesi / SAST Araçları

Reading time: 12 minutes

Rehber ve Araç Listeleri

• https://owasp.org/www-community/Source_Code_Analysis_Tools
• https://github.com/analysis-tools-dev/static-analysis

Çok Dilli Araçlar

Naxus - AI-Gents

PR'leri incelemek için ücretsiz bir paket bulunmaktadır.

Semgrep

Bu bir Açık Kaynak araçtır.

Desteklenen Diller

Hızlı Başlangıç

# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep

# Go to your repo code and scan
cd repo
semgrep scan --config auto

Ayrıca bulguları VSCode içinde almak için semgrep VSCode Extension kullanabilirsiniz.

SonarQube

Yüklenebilir bir ücretsiz sürüm bulunmaktadır.

Hızlı Başlangıç

# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner

# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it

# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>

CodeQL

Kurulabilir bir ücretsiz sürüm vardır, ancak lisansa göre sadece ücretsiz codeQL sürümünü Açık Kaynak projelerinde kullanabilirsiniz.

Kurulum

# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz

# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql

# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz

# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc

# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs

Hızlı Başlangıç - Veritabanını Hazırlayın

• Codeql'in repo'nun dilini otomatik olarak tanımlamasına ve veritabanını oluşturmasına izin verebilirsiniz.

codeql database create <database> --language <language>

# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db

• Bunu manuel olarak belirterek repo ve dili yapabilirsiniz (diller listesi)

codeql database create <database> --language <language> --source-root </path/to/repo>

# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db

• Eğer reposunuz 1'den fazla dil kullanıyorsa, her dili belirterek her dil için 1 DB de oluşturabilirsiniz.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*

• codeql'in sizin için tüm dilleri tanımlamasına ve her dil için bir DB oluşturmasına da izin verebilirsiniz. Ona bir GITHUB_TOKEN vermeniz gerekiyor.

export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>

# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*

Hızlı Başlangıç - Kodu Analiz Et

Birden fazla dil kullandıysanız, her dil için bir DB belirtilen yolda oluşturulmuş olacaktır.

# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif

# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif

Hızlı Başlangıç - Scriptli

export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "

echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done

echo $FINAL_MSG

Bulgu sonuçlarını https://microsoft.github.io/sarif-web-component/ adresinde veya VSCode uzantısı SARIF viewer kullanarak görselleştirebilirsiniz.

Ayrıca bulguları VSCode içinde almak için VSCode uzantısını kullanabilirsiniz. Yine de manuel olarak bir veritabanı oluşturmanız gerekecek, ancak ardından herhangi bir dosyayı seçip Sağ Tık -> CodeQL: Seçilen Dosyalarda Sorguları Çalıştır seçeneğine tıklayabilirsiniz.

Snyk

Yüklenebilir ücretsiz bir sürüm mevcuttur.

Hızlı Başlangıç

# Install
sudo npm install -g snyk

# Authenticate (you can use a free account)
snyk auth

# Test for open source vulns & license issues
snyk test [--all-projects]

# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code

# Test for vulns in images
snyk container test [image]

# Test for IaC vulns
snyk iac test

Ayrıca snyk VSCode Extension kullanarak VSCode içinde bulgular alabilirsiniz.

Insider

Açık Kaynaktır, ancak bakım yapılmıyor gibi görünüyor.

Desteklenen Diller

Java (Maven ve Android), Kotlin (Android), Swift (iOS), .NET Full Framework, C# ve Javascript (Node.js).

Hızlı Başlangıç

# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript  --target <projectfolder>

DeepSource

Açık repos için ücretsizdir.

NodeJS

• yarn

# Install
brew install yarn
# Run
cd /path/to/repo
yarn install
yarn audit # In lower versions
yarn npm audit # In 2+ versions

npm audit

• pnpm

# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm install
pnpm audit

• nodejsscan: Node.js uygulamaları için libsast ve semgrep tarafından desteklenen statik güvenlik kod tarayıcısı (SAST).

# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code

• RetireJS: Retire.js'in amacı, bilinen güvenlik açıklarına sahip JS-kütüphane sürümlerinin kullanımını tespit etmenize yardımcı olmaktır.

# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors

Electron

• electronegativity: Electron tabanlı uygulamalardaki yanlış yapılandırmaları ve güvenlik anti-paterni tanımlamak için bir araçtır.

Python

• Bandit: Bandit, Python kodundaki yaygın güvenlik sorunlarını bulmak için tasarlanmış bir araçtır. Bunu yapmak için Bandit her dosyayı işler, ondan bir AST oluşturur ve AST düğümleri üzerinde uygun eklentileri çalıştırır. Bandit tüm dosyaları taradıktan sonra bir rapor oluşturur.

# Install
pip3 install bandit

# Run
bandit -r <path to folder>

• safety: Safety, bilinen güvenlik açıkları için Python bağımlılıklarını kontrol eder ve tespit edilen açıklar için uygun düzeltmeleri önerir. Safety, geliştirici makinelerinde, CI/CD boru hatlarında ve üretim sistemlerinde çalıştırılabilir.

# Install
pip install safety
# Run
safety check

• Pyt: Bakımı yapılmıyor.

.NET

# dnSpy
https://github.com/0xd4d/dnSpy

# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs

RUST

# Install
cargo install cargo-audit

# Run
cargo audit

#Update the Advisory Database
cargo audit fetch

Java

# JD-Gui
https://github.com/java-decompiler/jd-gui

# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class

Devam

https://github.com/securego/gosec

PHP

Psalm ve PHPStan.

Wordpress Eklentileri

https://www.pluginvulnerabilities.com/plugin-security-checker/

Solidity

• https://www.npmjs.com/package/solium

JavaScript

Keşif

1. Burp:

• Spider ve içerik keşfi
• Sitemap > filtre
• Sitemap > alan adına sağ tıklayın > Etkileşim araçları > Scriptleri Bul

2. WaybackURLs:

• waybackurls <domain> |grep -i "\.js" |sort -u

Statik Analiz

Unminimize/Beautify/Prettify

• https://prettier.io/playground/
• https://beautifier.io/
• Aşağıda 'Deobfuscate/Unpack' bölümünde bahsedilen bazı araçlara da bakın.

Deobfuscate/Unpack

Not: Tamamen deobfuscate etmek mümkün olmayabilir.

1. .map dosyalarını bulun ve kullanın:

• Eğer .map dosyaları açığa çıkmışsa, bunlar kolayca deobfuscate etmek için kullanılabilir.
• Genellikle, foo.js.map foo.js ile eşleşir. Manuel olarak arayın.
• JS Miner kullanarak bunları arayın.
• Aktif taramanın yapıldığından emin olun.
• 'Tips/Notes' bölümünü okuyun.
• Bulunduğunda, deobfuscate etmek için Maximize kullanın.

2. .map dosyaları olmadan, JSnice deneyin:

• Referanslar: http://jsnice.org/ & https://www.npmjs.com/package/jsnice
• İpuçları:
• jsnice.org kullanıyorsanız, "Nicify JavaScript" butonunun yanındaki seçenekler butonuna tıklayın ve "Infer types" seçeneğini kaldırarak kodu yorumlarla karıştırmamaya dikkat edin.
• Scriptin önünde boş satır bırakmadığınızdan emin olun, çünkü bu deobfuscate sürecini etkileyebilir ve yanlış sonuçlar verebilir.

3. JSNice için daha modern alternatifler arıyorsanız, aşağıdakilere göz atabilirsiniz:

• https://github.com/pionxzh/wakaru

• Javascript decompiler, unpacker ve unminify aracı Wakaru, modern frontend için Javascript decompiler'dır. Paketlenmiş ve transpile edilmiş bir kaynaktan orijinal kodu geri getirir.

• https://github.com/j4k0xb/webcrack

• obfuscator.io'yu deobfuscate et, unminify et ve paketlenmiş javascript'i unpack et

• https://github.com/jehna/humanify

• ChatGPT kullanarak Javascript kodunu un-minify et Bu araç, Javascript kodunu un-minify etmek için büyük dil modelleri (ChatGPT & llama2 gibi) ve diğer araçları kullanır. LLM'lerin herhangi bir yapısal değişiklik yapmadığını unutmayın - yalnızca değişkenleri ve fonksiyonları yeniden adlandırmak için ipuçları sağlar. Ağır iş, kodun 1-1 eşdeğer kalmasını sağlamak için Babel tarafından AST seviyesinde yapılır.

• https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html

• JavaScript değişken adı minifikasyonunu tersine çevirmek için LLM'leri kullanma

3. console.log() kullanın;

• Sonunda dönen değeri bulun ve console.log(<packerReturnVariable>); olarak değiştirin, böylece deobfuscate edilmiş js çalıştırılmak yerine yazdırılır.
• Ardından, değiştirilmiş (ve hala obfuscate edilmiş) js'i https://jsconsole.com/ sayfasına yapıştırarak deobfuscate edilmiş js'in konsola yazdırıldığını görün.
• Son olarak, deobfuscate edilmiş çıktıyı https://prettier.io/playground/ sayfasına yapıştırarak analiz için güzelleştirin.
• Not: Eğer hala paketlenmiş (ama farklı) js görüyorsanız, bu muhtemelen yine paketlenmiştir. Süreci tekrarlayın.

Referanslar

• YouTube: DAST - Javascript Dinamik Analiz
• https://blog.nvisium.com/angular-for-pentesters-part-1
• https://blog.nvisium.com/angular-for-pentesters-part-2
• devalias'ın GitHub Gists:
• Obfuscate Edilmiş Web Uygulama Kodunu Deobfuscate Etme / Unminify Etme
• Webpack Uygulamalarını Tersine Mühendislik
• vs

Araçlar

• https://portswigger.net/burp/documentation/desktop/tools/dom-invader

Daha Az Kullanılan Referanslar

• https://cyberchef.org/
• https://olajs.com/javascript-prettifier
• https://jshint.com/
• https://github.com/jshint/jshint/