本发明专利技术涉及数据处理领域,公开了一种PHP源代码处理方法及系统,该方法包括:接收提交的PHP源代码;采用白盒扫描引擎对所述PHP源代码进行漏洞扫描,获得漏洞扫描结果;输出所述漏洞扫描结果;响应输入的漏洞自动确认平台的调用指令,并调用所述漏洞自动确认平台确认所述漏洞扫描结果是否包含漏洞;若确认所述漏洞扫描结果包含漏洞,对所述漏洞进行修复处理。实施本发明专利技术实施例,可以提升PHP源代码的安全性。
【技术实现步骤摘要】
一种PHP源代码处理方法及系统
本专利技术涉及数据处理领域,具体涉及一种PHP源代码处理方法及系统。
技术介绍
随着Web2.0的兴起,互联网已离不开各种各样的Web应用(如社交网站、电子商城、门户网站、论坛等应用)。其中,超文本预处理器(Hypertext Preprocessor, PHP)语言由于具有的跨平台性、快捷性等特点被开发者越来越推崇,已然成为比较主流的Web开发语言。然而,随着Web攻击技术的演变,Web安全越来越备受关注,因此,需要对PHP源代码进行漏洞检测,以提升Web安全性。其中,常见的一种PHP源代码的漏洞检测方法是采用动态黑盒测试方式来检测PHP源代码的漏洞,这种动态黑盒测试方式需要构造大量畸形的测试用例来检测PHP源代码的漏洞,容易造成漏报。
技术实现思路
本专利技术实施例公开一种PHP源代码处理方法及系统,用于提升PHP源代码的安全性。 本专利技术实施例第一方面公开一种PHP源代码处理方法,包括: 接收提交的PHP源代码; 采用白盒扫描引擎对所述PHP源代码进行漏洞扫描,获得漏洞扫描结果; 输出所述漏洞扫描结果; 响应输入的漏洞自动确认平台的调用指令,并调用所述漏洞自动确认平台确认所述漏洞扫描结果是否包含漏洞; 若确认所述漏洞扫描结果包含漏洞,对所述漏洞进行修复处理。 本专利技术实施例第二方面公开一种PHP源代码处理系统,包括: 接收单元,用于接收提交的PHP源代码; 扫描单元,用于采用白盒扫描引擎对所述PHP源代码进行漏洞扫描,获得漏洞扫描结果; 输出单元,用于输出所述漏洞扫描结果; 确认单元,用于响应输入的漏洞自动确认平台的调用指令,并调用所述漏洞自动确认平台确认所述漏洞扫描结果是否包含漏洞; 处理单元,用于当确认所述漏洞扫描结果包含漏洞时,对所述漏洞进行修复处理。 本专利技术实施例中,可以采用白盒扫描引擎对提交的PHP源代码进行漏洞扫描,以获得漏洞扫描结果并输出,进一步地,还可以响应输入的漏洞自动确认平台的调用指令,并调用漏洞自动确认平台确认该漏洞扫描结果是否包含漏洞,若确认该漏洞扫描结果包含漏洞,则对漏洞进行修复处理。可见,实施本专利技术实施例,可以实现PHP源代码提交、漏洞扫描、漏洞确认以及漏洞修复等自动化闭环处理,从而可以有效提升PHP源代码的安全性。 【附图说明】 为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。 图1是本专利技术实施例公开的一种PHP源代码处理方法的流程示意图; 图2是本专利技术实施例公开的另一种PHP源代码处理方法的流程示意图; 图3是本专利技术实施例公开的一种PHP源代码处理系统的结构示意图。 【具体实施方式】 下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。 本专利技术实施例公开一种PHP源代码处理方法及系统,用于提升PHP源代码的安全性。以下分别进行详细说明。 请参阅图1,图1是本专利技术实施例公开的一种PHP源代码处理方法的流程示意图。如图1所示,该PHP源代码处理方法可以包括以下步骤。 S101、接收提交的PHP源代码。 本专利技术实施例中,可以由漏洞自动确认平台接收提交的PHP源代码。 其中,PHP源代码可以由提交者手动输入提交,也可以由服务器等设备运行脚本自动提交,本专利技术实施例不作限定。 其中,PHP源代码提交可以是开发过程中的单独提交,也可以是批量提交,本专利技术实施例不作限定。 S102、采用白盒扫描引擎对PHP源代码进行漏洞扫描,获得漏洞扫描结果。 本专利技术实施例中,可以由漏洞自动确认平台采用白盒扫描引擎对PHP源代码进行漏洞扫描,获得漏洞扫描结果。 举例来说,漏洞自动确认平台可以采用白盒扫描引擎对PHP源代码进行词法语法分析得到抽象语法树(AST),并对AST进行污点追踪和变量回溯,获得漏洞扫描结果。 S103、输出漏洞扫描结果。 本专利技术实施例中,漏洞自动确认平台获得漏洞扫描结果后,漏洞自动确认平台可以直接在本地输出漏洞扫描结果,也可以以工单或邮件方式将漏洞扫描结果发送给PHP源代码对应的提交方,这种情况下,就要求提交方在提交PHP源代码时一并提交自己的联系信息(如邮箱等)。 S104、响应输入的漏洞自动确认平台的调用指令,并调用漏洞自动确认平台确认漏洞扫描结果是否包含漏洞。 本专利技术实施例中,漏洞自动确认平台可以响应输入的漏洞自动确认平台的调用指令,并调用漏洞自动确认平台确认漏洞扫描结果是否包含漏洞。其中,漏洞自动确认平台可以根据训练来确认漏洞扫描结果是否包含漏洞。 S105、若确认漏洞扫描结果包含漏洞,对漏洞进行修复处理。 本专利技术实施例中,若确认漏洞扫描结果包含漏洞,漏洞自动确认平台可以通过安全应用程序接口(API)调用该漏洞的类型所对应的修复方案对该漏洞进行修复处理。 在图1所示的方法中,可以采用白盒扫描引擎对提交的PHP源代码进行漏洞扫描,以获得漏洞扫描结果并输出,进一步地,还可以响应输入的漏洞自动确认平台的调用指令,并调用漏洞自动确认平台确认该漏洞扫描结果是否包含漏洞,若确认该漏洞扫描结果包含漏洞,则对漏洞进行修复处理。可见,实施图1所示的方法,可以实现PHP源代码提交、漏洞扫描、漏洞确认以及漏洞修复等自动化闭环处理,从而可以有效提升PHP源代码的安全性。 请参阅图2,图2是本专利技术实施例公开的另一种PHP源代码处理方法的流程示意图。如图2所示,该PHP源代码处理方法可以包括以下步骤。 S201、漏洞自动确认平台接收提交的PHP源代码。 本专利技术实施例中,PHP源代码可以由提交者手动输入提交,也可以由服务器等设备运行脚本自动提交,本专利技术实施例不作限定。 其中,PHP源代码提交可以是开发过程中的单独提交,也可以是批量提交,本专利技术实施例不作限定。 S202、漏洞自动确认平台采用白盒扫描引擎检测该PHP源代码是否存在于白名单中,如果否,则执行步骤S203 ;如果是,放弃漏洞扫描。 S203、漏洞自动确认平台采用白盒扫描引擎对PHP源代码进行词法语法分析得到抽象语法树(AST),并对AST进行污点追踪和变量回溯,获得漏洞扫描结果。 S204、漏洞自动确认平台以工单或邮件方式将漏洞扫描结果发送给PHP源代码对应的提交方。 本专利技术实施例中,漏洞自动确认平台获得漏洞扫描结果后,可以将漏洞扫描结果将入库,然后以工单或邮件形式发给对应提交方(如业务负责人),对于有漏洞的PHP源代码,提交方(如业务负责人)可以点击工单或邮件附有的漏洞自动确认平台的链接,从而可以输入漏洞自动确认平台的调用指令给漏洞自动确认平台。 S205、漏洞自动确认平台接收PHP源代码对应的提交方输入的漏洞自动确认平台的调用指令。 S206、漏洞自动确认平台响应输入的漏洞自动确认平台的调用指令,本文档来自技高网...
【技术保护点】
一种PHP源代码处理方法,其特征在于,包括:接收提交的PHP源代码;采用白盒扫描引擎对所述PHP源代码进行漏洞扫描,获得漏洞扫描结果;输出所述漏洞扫描结果;响应输入的漏洞自动确认平台的调用指令,并调用所述漏洞自动确认平台确认所述漏洞扫描结果是否包含漏洞;若确认所述漏洞扫描结果包含漏洞,对所述漏洞进行修复处理。
【技术特征摘要】
1.一种PHP源代码处理方法,其特征在于,包括: 接收提交的PHP源代码; 采用白盒扫描引擎对所述PHP源代码进行漏洞扫描,获得漏洞扫描结果; 输出所述漏洞扫描结果; 响应输入的漏洞自动确认平台的调用指令,并调用所述漏洞自动确认平台确认所述漏洞扫描结果是否包含漏洞; 若确认所述漏洞扫描结果包含漏洞,对所述漏洞进行修复处理。2.根据权利要求1所述的方法,其特征在于,所述采用白盒扫描引擎对所述PHP源代码进行漏洞扫描,获得漏洞扫描结果包括: 采用白盒扫描引擎对所述PHP源代码进行词法语法分析得到抽象语法树AST,并对所述AST进行污点追踪和变量回溯,获得漏洞扫描结果。3.根据权利要求2述的方法,其特征在于,所述采用白盒扫描引擎对所述PHP源代码进行词法语法分析得到抽象语法树AST之前,所述方法还包括: 采用白盒扫描引擎检测所述PHP源代码是否存在于白名单中,如果否,则执行所述的采用白盒扫描引擎对所述PHP源代码进行词法语法分析得到抽象语法树AST的步骤。4.权利要求3所述的方法,其特征在于,所述方法还包括: 若确认所述漏洞扫描结果未包含漏洞,将所述PHP源代码加入所述白名单中。5.权利要求1?4任一项所述的方法,其特征在于,所述输出所述漏洞扫描结果包括: 以工单或邮件方式将所述漏洞扫描结果发送给所述PHP源代码对应的提交方; 所述响应输入的漏洞自动确认平台的调用指令,并调用所述漏洞自动确认平台确认所述漏洞扫描结果是否包含漏洞之前,所述方法还包括: 接收所述PHP源代码对应的提交方输入的漏洞自动确认平台的调用指令,并执行所述的响应输入的漏洞自动确认平台的调用指令,并调用所述漏洞自动确认平台确认所述漏洞扫描结果是否包含漏洞的步骤。6.权利要求5所述的方法,其特征在于,所述若确认所述漏洞扫描结果包含漏洞,对所述漏洞进行修复处理包括: 若确认所述漏洞扫描结果包含漏洞,通过安全应用程序接口 API调用所...
【专利技术属性】
技术研发人员:王培伟,王金锭,谭晓光,陈薇婷,王岳,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。