Source code Review / SAST Tools
从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
支持 HackTricks 的其他方式:
如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版的 HackTricks,请查看订阅计划!
加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @carlospolopm 上关注我们。
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。
指南和工具列表
多语言工具
有一个免费的套餐用于审查 PR。
这是一个开源工具。
支持的语言
GA
C# · Go · Java · JavaScript · JSX · JSON · PHP · Python · Ruby · Scala · Terraform · TypeScript · TSX
Beta
Kotlin · Rust
Experimental
Bash · C · C++ · Clojure · Dart · Dockerfile · Elixir · HTML · Julia · Jsonnet · Lisp ·
快速开始
您还可以使用semgrep VSCode Extension在VSCode中获取查找结果。
有一个可安装的免费版本。
快速开始
CodeQL
CodeQL有一个可安装的免费版本,但根据许可证,您只能在开源项目中使用免费的CodeQL版本。
安装
快速入门 - 准备数据库
你需要做的第一件事是准备数据库(创建代码树),以便稍后对其运行查询。
您可以允许 codeql 自动识别存储库的语言并创建数据库
这通常会触发一个错误,指出指定了多种语言(或自动检测到)。检查下一个选项来修复这个问题!
您可以手动指定存储库和语言(语言列表)
如果您的存储库使用多于1种语言,您还可以为每种语言创建1个数据库来指示每种语言。
您还可以允许
codeql为您识别所有语言并为每种语言创建一个数据库。您需要提供一个GITHUB_TOKEN。
快速开始 - 分析代码
现在终于是分析代码的时候了
请记住,如果您使用了多种语言,每种语言一个数据库 将会在您指定的路径中创建。
快速开始 - 脚本化
您可以在https://microsoft.github.io/sarif-web-component/上查看发现结果,或者使用VSCode扩展SARIF viewer。
您还可以使用VSCode扩展在VSCode中获取发现结果。您仍然需要手动创建数据库,然后可以选择任何文件,单击右键 -> CodeQL: Run Queries in Selected Files
有一个可安装的免费版本。
快速入门
你也可以使用snyk VSCode Extension在VSCode中获取发现。
它是开源的,但看起来未维护。
支持的语言
Java(Maven和Android),Kotlin(Android),Swift(iOS),.NET完整框架,C#和Javascript(Node.js)。
快速入门
免费用于公共存储库。
NodeJS
yarn
pnpm
nodejsscan: 用于 Node.js 应用程序的静态安全代码扫描器(SAST),由libsast和semgrep驱动。
RetireJS: Retire.js 的目标是帮助您检测使用已知漏洞的 JS 库版本。
Electron
electronegativity: 这是一个用于识别 Electron 应用程序中的配置错误和安全反模式的工具。
Python
Bandit: Bandit 是一个旨在查找 Python 代码中常见安全问题的工具。为此,Bandit 处理每个文件,从中构建 AST,并针对 AST 节点运行适当的插件。一旦 Bandit 完成扫描所有文件,它就会生成一份报告。
safety: Safety检查Python依赖项中已知的安全漏洞,并提出适当的漏洞修复建议。Safety可以在开发者机器上运行,在CI/CD流水线中运行,也可以在生产系统上运行。
Pyt: 未维护。
.NET
RUST
RUST
Java
Java
执行 Jar
java -jar [jar]
解压 Jar
unzip -d [output directory] [jar]
创建 Jar
jar -cmf META-INF/MANIFEST.MF [output jar] *
Base64 SHA256
sha256sum [file] | cut -d' ' -f1 | xxd -r -p | base64
移除签名
rm META-INF/.SF META-INF/.RSA META-INF/*.DSA
从 Jar 中删除
zip -d [jar] [file to remove]
反编译类
procyon -o . [path to class]
反编译 Jar
procyon -jar [jar] -o [output directory]
编译类
javac [path to .java file]
运行
PHP
Wordpress 插件
https://www.pluginvulnerabilities.com/plugin-security-checker/
Solidity
JavaScript
探索
Burp:
Spider and discover content
Sitemap > filter
Sitemap > right-click domain > Engagement tools > Find scripts
waybackurls <domain> |grep -i "\.js" |sort -u
静态分析
反混淆/美化/格式化
也可以查看下面提到的“反混淆/解包”工具。
反混淆/解包
注意:可能无法完全反混淆。
查找并使用 .map 文件:
如果 .map 文件暴露出来,可以轻松地进行反混淆。
通常,foo.js.map 对应 foo.js。手动查找它们。
使用 JS Miner 查找它们。
确保进行主动扫描。
阅读 'Tips/Notes'
如果找到了,使用 Maximize 进行反混淆。
没有 .map 文件,尝试使用 JSnice:
提示:
如果使用 jsnice.org,请点击“Nicify JavaScript”按钮旁边的选项按钮,并取消选择“Infer types”以减少代码中的注释。
确保在脚本之前没有空行,因为这可能会影响反混淆过程并导致不准确的结果。
对于一些现代的 JSNice 替代方案,您可能想看看以下内容:
Javascript decompiler, unpacker and unminify toolkit
Wakaru 是用于现代前端的 Javascript 反编译器。它可以从捆绑和转译的源代码中恢复原始代码。
Deobfuscate obfuscator.io, unminify and unpack bundled javascript
Un-minify Javascript code using ChatGPT
该工具使用大型语言模型(如 ChatGPT 和 llama2)和其他工具来取消 JavaScript 代码的最小化。请注意,LLM 不执行任何结构更改 - 它们只提供重命名变量和函数的提示。通过 Babel 在 AST 级别执行繁重的工作,以确保代码保持 1-1 等效。
Using LLMs to reverse JavaScript variable name minification
使用
console.log();
找到最后的返回值并将其更改为
console.log(<packerReturnVariable>);,以便打印反混淆的 js 而不是执行它。然后,将修改后(仍然混淆的)js 粘贴到 https://jsconsole.com/ 中,以查看反混淆的 js 是否记录到控制台中。
最后,将反混淆的输出粘贴到 https://prettier.io/playground/ 中进行美化以进行分析。
注意:如果仍然看到打包的(但不同的)js,可能是递归打包。重复该过程。
参考
工具
较少使用的参考
最后更新于