add scanType support

支持扫描类型：根据用户需要的扫描类型扫描漏洞，例如scanType = 'SQLI'，则扫描SQLI漏洞

Author: xyw55

CFGGenerator.php

@@ -470,16 +470,19 @@ private function sinkFunctionHandler($node,$block,$parentBlock){
 
 
 	/**
-	 * 检测是否为sink函数
+	 * 处理函数调用
 	 * @param node $node
 	 * @param BasicBlock $block
 	 * @param fileSummary $fileSummary
 	 */
 	private function functionHandler($node,$block, $fileSummary){
+	    //根据用户指定的扫描类型，查找相类型的sink函数
+	    global $scan_type;
+	    
 	    //获取调用的函数名判断是否是sink调用
 	    $funcName = NodeUtils::getNodeFunctionName($node);
 	    //判断是否为sink函数,返回格式为array(true,funcname) or array(false)
-	    $ret = NodeUtils::isSinkFunction($funcName);
+	    $ret = NodeUtils::isSinkFunction($funcName, $scan_type);
 	    if($ret[0]){
 	        //如果发现了sink调用，启动污点分析
 	        $analyser = new TaintAnalyser() ;
@@ -607,63 +610,6 @@ public function simulate($block){
 				case 'Expr_Print':
 				case 'Expr_FuncCall':
 					echo "<pre>";
-					//获取调用的函数名判断是否是sink调用
-					$funcName = NodeUtils::getNodeFunctionName($node);
-					//判断是否为sink函数,返回格式为array(true,funcname) or array(false)
-					$ret = NodeUtils::isSinkFunction($funcName);
-					if($ret[0]){
-						//如果发现了sink调用，启动污点分析
-						$analyser = new TaintAnalyser() ;
-						
-						//获取危险参数的位置
-						$argPosition = NodeUtils::getVulArgs($node) ;
-						if(count($argPosition) == 0){
-							break ;
-						}
-						
-						//获取到危险参数位置的变量
-						$argArr = NodeUtils::getFuncParamsByPos($node, $argPosition);		
-
-						//遍历危险参数名，调用污点分析函数
-						if(count($argArr) > 0){
-							foreach ($argArr as $item){
-								if(is_array($item)){
-									foreach ($item as $v){
-										$analyser->analysis($block, $node, $v, $this->fileSummary) ;
-									}
-								}else{
-									$analyser->analysis($block, $node, $item, $this->fileSummary) ;
-								}
-								
-							}
-							
-						}
-						
-					}else{
-						//如果不是sink调用，启动过程间分析
-						$context = Context::getInstance() ;
-						$funcBody = $context->getClassMethodBody($funcName,$this->fileSummary->getPath(),$this->fileSummary->getIncludeMap());
-						if(!$funcBody) break ;
-						
-						$nextblock = $this->CFGBuilder($funcBody->stmts, NULL, NULL, NULL) ;
-						//ret危险参数的位置比如：array(0)
-						$ret = $this->functionHandler($funcBody, $nextblock, $block);
-						if(!$ret){
-							break;
-						}
-						
-						//找到了array('del',array(0)) ;
-						$userDefinedSink = UserDefinedSinkContext::getInstance() ;
-							
-						//$type应该从visitor中获取，使用$ret返回
-						$type = $ret['type'] ;
-						unset($ret['type']) ;
-						
-						//加入用户sink上下文
-						$item = array($funcName,$ret) ;
-						$userDefinedSink->addByTagName($item, $type) ;
-					}
-					
 					$this->functionHandler($node, $block, $this->fileSummary);
 					break ;
 			}
@@ -1042,19 +988,20 @@ public function sinkTracebackBlock($argName,$block,$flowsNum){
 	}
 }
 
-
+$scan_type = 'XSS';
 echo "<pre>" ;
 //从用户那接受项目路径
 $project_path = 'F:/wamp/www/phpvulhunter/test';
 //初始化
 $initModule = new InitModule() ;
 $initModule->init($project_path) ;
 
-//$path = 'F:/wamp/www/phpvulhunter/test/simple_demo.php';
-//$absPath = $path;
-//$ret = FileSummaryGenerator::getFileSummary($absPath);
-//print_r($ret);
-//FileSummaryGenerator::getIncludeFilesDataFlows($ret);
+// $path = 'F:/wamp/www/phpvulhunter/test/simple_demo.php';
+// $absPath = $path;
+// $ret = FileSummaryGenerator::getFileSummary($absPath);
+// print_r($ret);
+// $retFlows = FileSummaryGenerator::getIncludeFilesDataFlows($ret);
+// print_r($retFlows);
 
 $cfg = new CFGGenerator() ;
 $visitor = new MyVisitor() ;

FileSummaryGenerator.php

@@ -54,7 +54,7 @@ public static function getFileSummary($absPath){
 	    foreach ($nodes as $node){
 	        //搜集节点中的require include require_once include_once的PHP文件名称
 	        $fileSummary->addIncludeToMap(NodeUtils::getNodeIncludeInfo($node)) ;
-	        	
+	        
 	        if(!is_object($node)) continue ;
 
 	        //不分析函数定义

summary/FileSummary.class.php

@@ -50,6 +50,7 @@ public function addDataFlow($dataFlow){
 	public function addIncludeToMap($include){
 		if($include){
 			array_push($this->includeMap,$include) ;
+			$this->includeMap = array_unique($this->includeMap);
 		}
 	}
 

test/simple_demo.php

@@ -1,11 +1,31 @@
 <?php
+
 require_once '/a.php';
 require_once './source.php';
 require_once '../../b.php';
 
-$a = 2;
-$d = 123;
-$s = 1234;
-$a .= 23;
+function goods_del($s,$id)
+{
+	$a = $id;
+	del2($a,$b);
+	$d = mysql_query($s);
+	
+}
+
+function del2($where,$hi)
+{
+	$where = ' WHERE '.$where;
+	$sql = 'DELETE FROM '.$where;
+	$sql = jinghua($sql1,$hi);
+	$sql = $sql;
+	return mysql_query($sql);
+}
+
+function jinghua($str,$str1){
+    $str1 = addslashes($str1);
+    return addslashes($str);
+}
+
+
 goods_del($id) ;
 ?>

test/test/a.php

@@ -1,3 +1,4 @@
 <?php
+require_once 'c.php';
 $a = 111;
 ?>

test/test/c.php

@@ -0,0 +1,3 @@
+<?php
+$c = 3;
+?>

utils/NodeUtils.class.php

@@ -332,33 +332,155 @@ public static function getNodeIncludeInfo($node){
 	 * @param string $funcName
 	 * @return array(is_sink,args_position)
 	 */
-    public static function isSinkFunction($funcName){
-    	global $F_SINK_ALL,$F_SINK_ARRAY ;
+    public static function isSinkFunction($funcName, $scanType){
+    	global $F_SINK_ALL, $F_SINK_ARRAY ;
     	$nameNum = count($F_SINK_ARRAY);
     	$userDefinedSink = UserDefinedSinkContext::getInstance() ;
     	$U_SINK_ALL = $userDefinedSink->getAllSinks() ;
 
-    	//如果是系统的sink
-    	if(key_exists($funcName, $F_SINK_ALL)){
-    		for($i = 0;$i < $nameNum; $i++){
-		    	if(key_exists($funcName, $F_SINK_ARRAY[$i])){
-		    		return array(true,$F_SINK_ARRAY[$i][$funcName][0]);
-		    	}
-	    	}
-    		return array(false);
-    	}
-    	
-    	//如果是用户的sink
-    	if(key_exists($funcName, $U_SINK_ALL)){
-    		foreach ($userDefinedSink->getAllSinkArray() as $value){
-    			if(key_exists($funcName, $value)){
-    				return array(true,$U_SINK_ALL[$funcName]) ;
-    			}
-    		}
-    		
-    		return array(false) ;
+    	//根据scanType,查找sink函数
+    	switch ($scanType){
+    	    case 'ALL':
+            	//如果是系统的sink
+            	if(key_exists($funcName, $F_SINK_ALL)){
+            		for($i = 0;$i < $nameNum; $i++){
+        		    	if(key_exists($funcName, $F_SINK_ARRAY[$i])){
+        		    		return array(true,$F_SINK_ARRAY[$i][$funcName][0]);
+        		    	}
+        	    	}
+            		return array(false);
+            	}
+            	
+            	//如果是用户的sink
+            	if(key_exists($funcName, $U_SINK_ALL)){
+            		foreach ($userDefinedSink->getAllSinkArray() as $value){
+            			if(key_exists($funcName, $value)){
+            				return array(true,$U_SINK_ALL[$funcName]) ;
+            			}
+            		}
+            		return array(false) ;
+            	}
+	        case 'XSS':
+	            global $F_XSS;
+	            //如果是系统的sink
+	            if (key_exists($funcName, $F_XSS)){
+	                return array(true, $F_XSS[$funcName][0]);
+	            }
+	            //如果是用户的sink
+	            if (key_exists($funcName, $userDefinedSink->getF_XSS())){
+	                return array(true,$U_SINK_ALL[$funcName]) ;
+	            }
+	            return array(false) ;
+	            break;
+            case 'SQLI':
+                global $F_DATABASE;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_DATABASE)){
+                    return array(true, $F_DATABASE[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_DATABASE())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'HTTP':
+                global $F_HTTP_HEADER;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_HTTP_HEADER)){
+                    return array(true, $F_HTTP_HEADER[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_HTTP_HEADER())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'CODE':
+                global $F_CODE;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_CODE)){
+                    return array(true, $F_CODE[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_CODE())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'EXEC':
+                global $F_EXEC;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_EXEC)){
+                    return array(true, $F_EXEC[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_EXEC())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'LDAP':
+                global $F_LDAP;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_LDAP)){
+                    return array(true, $F_LDAP[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_LDAP())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'INCLUDE':
+                global $F_FILE_INCLUDE;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_FILE_INCLUDE)){
+                    return array(true, $F_FILE_INCLUDE[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_FILE_INCLUDE())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'FILE':
+                global $F_FILE_READ;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_FILE_READ)){
+                    return array(true, $F_FILE_READ[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_FILE_READ())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'XPATH':
+                global $F_XPATH;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_XPATH)){
+                    return array(true, $F_XPATH[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_XPATH())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
+            case 'FILEAFFECT':
+                global $F_FILE_AFFECT;
+                //如果是系统的sink
+                if (key_exists($funcName, $F_FILE_AFFECT)){
+                    return array(true, $F_FILE_AFFECT[$funcName][0]);
+                }
+                //如果是用户的sink
+                if (key_exists($funcName, $userDefinedSink->getF_FILE_AFFECT())){
+                    return array(true,$U_SINK_ALL[$funcName]) ;
+                }
+                return array(false) ;
+                break;
     	}
-    	
     	return array(false);
 
     }