Updated for the type of symbol

处理赋值时，当使用强制类型转换时，直接将type设置为int， 在污点分析中，如果type != string 或者valueInt，则视为安全。

Author: exploit

CFGGenerator.php

@@ -246,10 +246,11 @@ private function assignHandler($node,$block,$dataFlow,$type){
 $dataFlow->setValue($concat) ;
 }
 }else{
-//不属于已有的任何一个symbol类型,如函数调用
+//不属于已有的任何一个symbol类型,如函数调用,类型转换
  if($part && ($part->getType() == "Expr_FuncCall" || 
  $part->getType() == "Expr_MethodCall" || 
- $part->getType() == "Expr_StaticCall") ){
+ $part->getType() == "Expr_StaticCall" ) ){
+ 
 //处理 id = urlencode($_GET['id']) ;
 if(!SymbolUtils::isValue($part)){
 $funcName = NodeUtils::getNodeFunctionName($part) ;
@@ -280,18 +281,24 @@ private function assignHandler($node,$block,$dataFlow,$type){
 	EncodingHandler::setEncodeInfo($part, $dataFlow, $block, $this->fileSummary) ;
  }
 }
-
-
-
-//处理内置函数
-
+
+}
+
+//处理类型强制转换
+if($part 
+ && ($part->getType() == "Expr_Cast_Int" || $part->getType() == "Expr_Cast_Double") 
+ && $type == "right"){
+ $dataFlow->getLocation()->setType("int") ;
+ $symbol = SymbolUtils::getSymbolByNode($part->expr) ;
+ $dataFlow->setValue($symbol) ;
 }
 
 //处理三元表达式
 if($part && $part->getType() == "Expr_Ternary"){
 BIFuncUtils::ternaryHandler($type, $part, $dataFlow) ;
 }
-}
+
+}//else
 
 //处理完一条赋值语句，加入DataFlowMap
 if($type == "right"){

analyser/SqliAnalyser.class.php

@@ -51,7 +51,7 @@ private function check_sanitization($var,$saniArr){
 }
 
 //数值型注入，转义无效
-if($var->getType() == "int" && in_array("addslashes", $saniArr)){
+if($var->getType() == "valueInt" && in_array("addslashes", $saniArr)){
 return false ;
 }
 

analyser/TaintAnalyser.class.php

@@ -112,17 +112,16 @@ public function addTypeByVars(&$vars){
 continue ;
 }
 //判断是否被单引号包裹
-
 $is_start_with = $this->startWith($vars[$i-1]->getValue(), "'");
 $is_end_with = $this->endsWith($vars[$i+1]->getValue(), "'") ;
 
 if($is_start_with != -1 && $is_end_with != -1){
-$vars[$i]->setType("int") ;
+$vars[$i]->setType("valueInt") ;
 }
 }else{
 //如果没有前驱和后继 ，即为开头和结尾,且为var类型，直接设为int
 if($vars[$i] instanceof VariableSymbol){
-$vars[$i]->setType("int") ;
+$vars[$i]->setType("valueInt") ;
 }
 }
 }
@@ -514,11 +513,19 @@ public function multiFileHandler($block, $argName, $node, $fileSummary){
  *	(2)false	=>没有净化
  * 'XSS','SQLI','HTTP','CODE','EXEC','LDAP','INCLUDE','FILE','XPATH','FILEAFFECT'
  * @param string $type 漏洞的类型，使用TypeUtils可以获取
+ * @param Symbol $var 危险参数
  * @param array $saniArr 危险参数的净化信息栈
  * @param array $encodingArr 危险参数的编码信息栈
  */
 public function isSanitization($type,$var,$saniArr,$encodingArr){
-$is_clean = null ; 
+$is_clean = null ;
+
+//如果symbol类型为int，直接返回安全true
+if(!in_array($var->getType(), array('string','valueInt'))){
+ return true ;
+}
+
+//根据不同的漏洞类型进行判断
 switch ($type){
 case 'SQLI':
 $sql_analyser = new SqliAnalyser() ;

symbols/SanitizationHandler.class.php

@@ -18,9 +18,7 @@ class SanitizationHandler {
 public static function setSanitiInfo($node, $dataFlow, $block, $fileSummary){
  $dataFlows = $block->getBlockSummary()->getDataFlowMap();
  $sanitiInfo = self::SantiniFuncHandler($node, $fileSummary);
- //print_r($sanitiInfo);
  if($sanitiInfo){
- 
  //向上追踪变量，相同变量的净化信息，全部添加
  $funcParams = NodeUtils::getNodeFuncParams($node);
 

test/test.php

@@ -1,5 +1,6 @@
 <?php 
-$id = $_GET['id'] ;
-$id.="xxxx";
-echo $id ;
+
+$id = (float)$_GET['id'];
+mysql_query($id) ;
+
 ?>