Z-BlogPHP App 机器审核工具
服务器版本将基于:https://github.com/zsxsoft/mmp-server
- 自动下载最新版Z-BlogPHP
- 创建沙盒Z-BlogPHP环境,每次审核自动清理
- 自动下载依赖应用,解压应用时自动安装
- 自动启动内置PHP WebServer,免服务器配置
- 静态危险PHP功能与函数扫描
- 全局变量合规性检测
- 静态调用数据库随机函数扫描
- PHP 7兼容性扫描
- 离线W3C规范扫描
- 失效资源与网络资源检测
- 多终端分辨率截图
- 启动器(负责双击打开程序与文件关联)仅支持Windows。
- 程序主体和界面跨平台。
git clone https://github.com/zsxsoft/zbp-app-validator
cd zbp-app-validator
# 中国大陆用户可加上『--build-arg="location=china"』以使用国内镜像源构建
docker build . --tag=zbp-app-validator
docker run --rm -it zbp-app-validator
- Windows 7+ / macOS 10.10+ / Linux。
- 已安装 Java 8 / PHP 7 / Nodejs 10。(不支持PHP 7.3)
Windows用户直接双击launcher.exe
即可直接使用GUI。其它系统的GUI正在编写启动器,可使用npm start
打开GUI。
Ubuntu用户需要sudo apt-get install libfontconfig-dev
,其他系统类推。
php checker
- 静态裸写SQL扫描。
- SQL查询语句检测。
以下功能受限于技术原因,只能在服务器上实现,故本项目内不再考虑。
- 动态危险函数扫描。
- 未过滤输入输出检测。
- 动态脱加密壳(包括phpjiami等)
- 网络流量拦截
composer update
php download-dep.php
npm install
如果不使用GUI,已经可以启动项目了。
见:http://element-cn.eleme.io/#/zh-CN/component/custom-theme
./node_modules/.bin/et -c javascript/gui/element-variables.scss -o javascript/gui/element/
Windows用户打开Visual Studio 2017,直接打开项目文件launcher\windows-launcher\windows-launcher.sln
并编译。
目前仅有Windows打包脚本,直接PowerShell启动build\\build.ps1
即可。