HackTricks源代码审查 / SAST 工具
Reading time: 15 minutes
tip
学习和实践 AWS 黑客技术:
HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:
HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
指导和工具列表
- https://owasp.org/www-community/Source_Code_Analysis_Tools
- https://github.com/analysis-tools-dev/static-analysis
多语言工具
Naxus - AI-Gents
有一个免费包来审查 PR。
Semgrep
这是一个开源工具。
支持的语言
| 类别 | 语言 |
|---|---|
| GA | C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX |
| Beta | Kotlin · Rust |
| Experimental | Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp · |
快速开始
bash
# Install https://github.com/returntocorp/semgrep#option-1-getting-started-from-the-cli
brew install semgrep
# Go to your repo code and scan
cd repo
semgrep scan --config auto
您还可以使用 semgrep VSCode Extension 在 VSCode 中获取发现结果。
SonarQube
有一个可安装的 免费版本。
快速入门
bash
# Run the paltform in docker
docker run -d --name sonarqube -e SONAR_ES_BOOTSTRAP_CHECKS_DISABLE=true -p 9000:9000 sonarqube:latest
# Install cli tool
brew install sonar-scanner
# Go to localhost:9000 and login with admin:admin or admin:sonar
# Generate a local project and then a TOKEN for it
# Using the token and from the folder with the repo, scan it
cd path/to/repo
sonar-scanner \
-Dsonar.projectKey=<project-name> \
-Dsonar.sources=. \
-Dsonar.host.url=http://localhost:9000 \
-Dsonar.token=<sonar_project_token>
CodeQL
有一个可安装的免费版本,但根据许可证,您只能在开源项目中使用免费代码QL版本。
安装
bash
# Download your release from https://github.com/github/codeql-action/releases
## Example
wget https://github.com/github/codeql-action/releases/download/codeql-bundle-v2.14.3/codeql-bundle-osx64.tar.gz
# Move it to the destination folder
mkdir ~/codeql
mv codeql-bundle* ~/codeql
# Decompress it
cd ~/codeql
tar -xzvf codeql-bundle-*.tar.gz
rm codeql-bundle-*.tar.gz
# Add to path
echo 'export PATH="$PATH:/Users/username/codeql/codeql"' >> ~/.zshrc
# Check it's correctly installed
## Open a new terminal
codeql resolve qlpacks #Get paths to QL packs
快速开始 - 准备数据库
tip
您需要做的第一件事是准备数据库(创建代码树),以便后续查询可以在其上运行。
- 您可以允许 codeql 自动识别仓库的语言并创建数据库
bash
codeql database create <database> --language <language>
# Example
codeql database create /path/repo/codeql_db --source-root /path/repo
## DB will be created in /path/repo/codeql_db
caution
这通常会触发一个错误,说指定了多个语言(或自动检测到)。检查下一个选项以修复此问题!
- 您可以手动指示****repo和语言(语言列表)
bash
codeql database create <database> --language <language> --source-root </path/to/repo>
# Example
codeql database create /path/repo/codeql_db --language javascript --source-root /path/repo
## DB will be created in /path/repo/codeql_db
- 如果您的仓库使用多于 1 种语言,您还可以为每种语言创建1 个数据库,并指明每种语言。
bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --source-root /path/to/repo --db-cluster --language "javascript,python"
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /path/repo/codeql_db --source-root /path/to/repo --db-cluster --language "javascript,python"
## DBs will be created in /path/repo/codeql_db/*
- 你还可以允许
codeql为你识别所有语言并为每种语言创建一个数据库。你需要提供一个 GITHUB_TOKEN。
bash
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create <database> --db-cluster --source-root </path/to/repo>
# Example
export GITHUB_TOKEN=ghp_32849y23hij4...
codeql database create /tmp/codeql_db --db-cluster --source-root /path/repo
## DBs will be created in /path/repo/codeql_db/*
快速开始 - 分析代码
tip
现在终于是分析代码的时候了
请记住,如果您使用了多种语言,每种语言一个数据库将会在您指定的路径中创建。
bash
# Default analysis
codeql database analyze <database> --format=<format> --output=</out/file/path>
# Example
codeql database analyze /tmp/codeql_db/javascript --format=sarif-latest --output=/tmp/graphql_results.sarif
# Specify QL pack to use in the analysis
codeql database analyze <database> \
<qls pack> --sarif-category=<language> \
--sarif-add-baseline-file-info \ --format=<format> \
--output=/out/file/path>
# Example
codeql database analyze /tmp/codeql_db \
javascript-security-extended --sarif-category=javascript \
--sarif-add-baseline-file-info --format=sarif-latest \
--output=/tmp/sec-extended.sarif
快速开始 - 脚本化
bash
export GITHUB_TOKEN=ghp_32849y23hij4...
export REPO_PATH=/path/to/repo
export OUTPUT_DIR_PATH="$REPO_PATH/codeql_results"
mkdir -p "$OUTPUT_DIR_PATH"
export FINAL_MSG="Results available in: "
echo "Creating DB"
codeql database create "$REPO_PATH/codeql_db" --db-cluster --source-root "$REPO_PATH"
for db in `ls "$REPO_PATH/codeql_db"`; do
echo "Analyzing $db"
codeql database analyze "$REPO_PATH/codeql_db/$db" --format=sarif-latest --output="${OUTPUT_DIR_PATH}/$db).sarif"
FINAL_MSG="$FINAL_MSG ${OUTPUT_DIR_PATH}/$db.sarif ,"
echo ""
done
echo $FINAL_MSG
您可以在 https://microsoft.github.io/sarif-web-component/ 中可视化发现的内容,或使用 VSCode 扩展 SARIF viewer。
您还可以使用 VSCode extension 在 VSCode 中获取发现的内容。您仍然需要手动创建数据库,但之后您可以选择任何文件并单击 Right Click -> CodeQL: Run Queries in Selected Files
Snyk
有一个 可安装的免费版本。
快速入门
bash
# Install
sudo npm install -g snyk
# Authenticate (you can use a free account)
snyk auth
# Test for open source vulns & license issues
snyk test [--all-projects]
# Test for code vulnerabilities
## This will upload your code and you need to enable this option in: Settings > Snyk Code
snyk test code
# Test for vulns in images
snyk container test [image]
# Test for IaC vulns
snyk iac test
您还可以使用 snyk VSCode Extension 在 VSCode 中获取发现。
Insider
它是 开源 的,但看起来 未维护。
支持的语言
Java (Maven 和 Android)、Kotlin (Android)、Swift (iOS)、.NET Full Framework、C# 和 Javascript (Node.js)。
快速开始
bash
# Check the correct release for your environment
$ wget https://github.com/insidersec/insider/releases/download/2.1.0/insider_2.1.0_linux_x86_64.tar.gz
$ tar -xf insider_2.1.0_linux_x86_64.tar.gz
$ chmod +x insider
$ ./insider --tech javascript --target <projectfolder>
DeepSource
对公共仓库免费。
NodeJS
yarn
bash
# Install
brew install yarn
# Run
cd /path/to/repo
yarn install
yarn audit # In lower versions
yarn npm audit # In 2+ versions
npm audit
pnpm
bash
# Install
npm install -g pnpm
# Run
cd /path/to/repo
pnpm install
pnpm audit
- nodejsscan: 用于 Node.js 应用程序的静态安全代码扫描器 (SAST),由 libsast 和 semgrep 提供支持。
bash
# Install & run
docker run -it -p 9090:9090 opensecurity/nodejsscan:latest
# Got to localhost:9090
# Upload a zip file with the code
- RetireJS: Retire.js的目标是帮助您检测使用已知漏洞的JS库版本。
bash
# Install
npm install -g retire
# Run
cd /path/to/repo
retire --colors
Electron
- electronegativity: 这是一个用于识别基于Electron的应用程序中的错误配置和安全反模式的工具。
Python
- Bandit: Bandit是一个旨在发现Python代码中常见安全问题的工具。为此,Bandit处理每个文件,从中构建AST,并对AST节点运行适当的插件。一旦Bandit完成对所有文件的扫描,它会生成一份报告。
bash
# Install
pip3 install bandit
# Run
bandit -r <path to folder>
- safety: Safety 检查 Python 依赖项是否存在已知安全漏洞,并建议针对检测到的漏洞的适当修复措施。Safety 可以在开发者机器、CI/CD 管道和生产系统上运行。
bash
# Install
pip install safety
# Run
safety check
Pyt: 不再维护。
.NET
bash
# dnSpy
https://github.com/0xd4d/dnSpy
# .NET compilation
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe test.cs
RUST
bash
# Install
cargo install cargo-audit
# Run
cargo audit
#Update the Advisory Database
cargo audit fetch
Java
bash
# JD-Gui
https://github.com/java-decompiler/jd-gui
# Java compilation step-by-step
javac -source 1.8 -target 1.8 test.java
mkdir META-INF
echo "Main-Class: test" > META-INF/MANIFEST.MF
jar cmvf META-INF/MANIFEST.MF test.jar test.class
| 任务 | 命令 |
|---|---|
| 执行 Jar | java -jar [jar] |
| 解压 Jar | unzip -d [output directory] [jar] |
| 创建 Jar | jar -cmf META-INF/MANIFEST.MF [output jar] * |
| Base64 SHA256 | sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64 |
| 移除签名 | rm META-INF/.SF META-INF/.RSA META-INF/*.DSA |
| 从 Jar 删除 | zip -d [jar] [file to remove] |
| 反编译类 | procyon -o . [path to class] |
| 反编译 Jar | procyon -jar [jar] -o [output directory] |
| 编译类 | javac [path to .java file] |
Go
bash
https://github.com/securego/gosec
PHP
Wordpress 插件
https://www.pluginvulnerabilities.com/plugin-security-checker/
Solidity
JavaScript
发现
- Burp:
- Spider 和发现内容
- Sitemap > 过滤
- Sitemap > 右键点击域名 > Engagement tools > 查找脚本
waybackurls <domain> |grep -i "\.js" |sort -u
静态分析
反压缩/美化/格式化
- https://prettier.io/playground/
- https://beautifier.io/
- 参见下面“反混淆/解包”中提到的一些工具。
反混淆/解包
注意:可能无法完全反混淆。
- 查找并使用 .map 文件:
- 如果 .map 文件被暴露,可以用来轻松反混淆。
- 通常,foo.js.map 映射到 foo.js。手动查找它们。
- 使用 JS Miner 查找它们。
- 确保进行主动扫描。
- 阅读 'Tips/Notes'
- 如果找到,使用 Maximize 进行反混淆。
- 如果没有 .map 文件,尝试 JSnice:
- 参考:http://jsnice.org/ & https://www.npmjs.com/package/jsnice
- 提示:
- 如果使用 jsnice.org,点击“Nicify JavaScript”按钮旁边的选项按钮,取消选择“推断类型”,以减少代码中的注释杂乱。
- 确保在脚本之前没有空行,因为这可能会影响反混淆过程并导致不准确的结果。
- 对于一些更现代的 JSNice 替代品,您可能想查看以下内容:
- https://github.com/pionxzh/wakaru
-
Javascript 反编译器、解包和反压缩工具包 Wakaru 是现代前端的 Javascript 反编译器。它从打包和转译的源代码中恢复原始代码。
- https://github.com/j4k0xb/webcrack
-
反混淆 obfuscator.io,反压缩和解包打包的 javascript
- https://github.com/jehna/humanify
-
使用 ChatGPT 反压缩 Javascript 代码 此工具使用大型语言模型(如 ChatGPT 和 llama2)及其他工具来反压缩 Javascript 代码。请注意,LLMs 不会进行任何结构性更改 – 它们仅提供重命名变量和函数的提示。重任由 Babel 在 AST 级别完成,以确保代码保持 1-1 等价。
- https://thejunkland.com/blog/using-llms-to-reverse-javascript-minification.html
-
使用 LLMs 反转 JavaScript 变量名压缩
- 使用
console.log();
- 找到返回值并将其更改为
console.log(<packerReturnVariable>);,以便打印反混淆的 js,而不是执行它。 - 然后,将修改后的(仍然混淆的)js 粘贴到 https://jsconsole.com/ 中,以查看反混淆的 js 记录到控制台。
- 最后,将反混淆的输出粘贴到 https://prettier.io/playground/ 中,以便进行美化分析。
- 注意:如果您仍然看到打包的(但不同的)js,可能是递归打包。重复该过程。
参考
- YouTube: DAST - Javascript 动态分析
- https://blog.nvisium.com/angular-for-pentesters-part-1
- https://blog.nvisium.com/angular-for-pentesters-part-2
- devalias 的 GitHub Gists:
- 反混淆/反压缩混淆的 Web 应用代码
- 逆向工程 Webpack 应用
- 等
工具
较少使用的参考
- https://cyberchef.org/
- https://olajs.com/javascript-prettifier
- https://jshint.com/
- https://github.com/jshint/jshint/
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。