Skip to content

zsxsoft/zbp-app-validator

Repository files navigation

zbp-app-validator

Z-BlogPHP App 机器审核工具

服务器版本将基于:https://github.com/zsxsoft/mmp-server

已实现功能

环境配置

  1. 自动下载最新版Z-BlogPHP
  2. 创建沙盒Z-BlogPHP环境,每次审核自动清理
  3. 自动下载依赖应用,解压应用时自动安装
  4. 自动启动内置PHP WebServer,免服务器配置

通用审核

  1. 静态危险PHP功能与函数扫描
  2. 全局变量合规性检测
  3. 静态调用数据库随机函数扫描
  4. PHP 7兼容性扫描

主题审核

  1. 离线W3C规范扫描
  2. 失效资源与网络资源检测
  3. 多终端分辨率截图

系统支持

  1. 启动器(负责双击打开程序与文件关联)仅支持Windows。
  2. 程序主体和界面跨平台。

使用

Docker

git clone https://github.com/zsxsoft/zbp-app-validator
cd zbp-app-validator
# 中国大陆用户可加上『--build-arg="location=china"』以使用国内镜像源构建
docker build . --tag=zbp-app-validator
docker run --rm --privileged -it zbp-app-validator

客户端直接运行

前置条件

  1. Windows 7+ / macOS 10.10+ / Linux。
  2. 已安装 Java 8 / PHP 7 / Nodejs 10。(PHP 7.0 - 7.2 或 7.3.2+)

GUI

Windows用户直接双击launcher.exe即可直接使用GUI。其它系统的GUI正在编写启动器,可使用npm start打开GUI。

Ubuntu用户需要sudo apt-get install libfontconfig-dev,其他系统类推。

命令行

php checker

功能Roadmap

尚未实现

  1. 静态裸写SQL扫描。
  2. SQL查询语句检测。

不在本项目内实现

以下功能受限于技术原因,只能在服务器上实现,故本项目内不再考虑。

  1. 动态危险函数扫描。
  2. 未过滤输入输出检测。
  3. 动态脱加密壳(包括phpjiami等)
  4. 网络流量拦截

不实现

项目构建

composer update
php download-dep.php
npm install

如果不使用GUI,已经可以启动项目了。

生成GUI主题

见:http://element-cn.eleme.io/#/zh-CN/component/custom-theme

./node_modules/.bin/et -c javascript/gui/element-variables.scss -o javascript/gui/element/

生成Windows启动器

Windows用户打开Visual Studio 2017,直接打开项目文件launcher\windows-launcher\windows-launcher.sln并编译。

打包

目前仅有Windows打包脚本,直接PowerShell启动build\\build.ps1即可。