Java代码审计：某电商系统漏洞分析教学文档<\/h1>

一、系统概述<\/h2>

starsea-mall<\/strong> 是一套基于Spring Boot 2.X技术栈开发的电商系统，包含两个主要部分：<\/p>

前台商城系统<\/strong>：<\/p>

功能模块：首页登录、商品分类、新品上线、首页轮播、商品推荐、商品搜索、商品展示、购物车、订单结算、订单流程、个人订单管理、会员中心、帮助中心等<\/li> <\/ul> <\/li>

后台管理系统<\/strong>：<\/p>

功能模块：数据面板、轮播图管理、商品管理、订单管理、会员管理、分类管理、设置等<\/li> <\/ul> <\/li> <\/ol>
二、组件安全审计<\/h2>
审计发现系统使用的组件版本及安全情况：<\/p>

组件名称<\/th> 组件版本<\/th> 是否存在历史漏洞<\/th> <\/tr> <\/thead>

mybatis<\/td> 2.1.3<\/td> 不存在<\/td> <\/tr>
springfox-swagger2<\/td> 2.7.0<\/td> 不存在<\/td> <\/tr>
springfox-swagger-ui<\/td> 2.7.0<\/td> 不存在<\/td> <\/tr>
commons-fileupload<\/td> 1.6<\/td> 不存在<\/td> <\/tr> <\/tbody> <\/table>
三、单点漏洞审计与分析<\/h2>
1. 水平越权漏洞<\/h3>
漏洞描述<\/strong>：用户可以通过修改请求中的用户ID参数来访问或修改其他用户的信息。<\/p>
漏洞位置<\/strong>：\/personal\/updateInfo<\/code>接口<\/p>
攻击步骤<\/strong>：<\/p>
正常登录用户账户<\/li> 抓取修改用户信息的请求数据包<\/li> 修改请求中的userId<\/code>参数为其他用户的ID<\/li> 成功接管目标用户账户<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result updateUserInfo<\/span>(<\/span>UserInfo userInfo,<\/span> HttpSession httpSession)<\/span> {<\/span> <\/span><\/span> \/\/ 从会话中获取当前用户临时信息 <\/span><\/span><\/span><\/span> UserInfo currentUser =<\/span> (<\/span>UserInfo)<\/span> httpSession.<\/span>getAttribute<\/span>(<\/span>"user"<\/span>);<\/span> <\/span><\/span> <\/span><\/span> \/\/ 直接使用传入的userInfo更新数据库，没有校验传入ID与当前用户ID是否匹配 <\/span><\/span><\/span><\/span> userInfoService.<\/span>updateUserInfo<\/span>(<\/span>userInfo);<\/span> <\/span><\/span> <\/span><\/span> \/\/ 更新会话中的用户信息 <\/span><\/span><\/span><\/span> httpSession.<\/span>setAttribute<\/span>(<\/span>"user"<\/span>,<\/span> userInfo);<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 在更新用户信息前，校验传入的userId<\/code>必须与当前登录用户的ID一致<\/li> 从会话中获取当前用户ID，而不是依赖客户端传入的ID<\/li> <\/ul> 2. 订单状态修改漏洞<\/h3> 漏洞描述<\/strong>：系统仅通过简单的0和1来判断支付状态，攻击者可以绕过支付流程直接修改订单状态为"已支付"。<\/p> 漏洞位置<\/strong>：\/paySuccess<\/code>接口<\/p> 攻击步骤<\/strong>：<\/p> 创建一个未支付的订单<\/li> 抓取支付成功的数据包<\/li> 修改支付状态参数为1（已支付）<\/li> 重放请求，订单状态被非法修改<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result paySuccess<\/span>(<\/span>String orderNo,<\/span> Integer payStatus)<\/span> {<\/span> <\/span><\/span> \/\/ 仅根据订单号和支付状态更新，没有验证支付凭证 <\/span><\/span><\/span><\/span> orderService.<\/span>updateOrderPayStatus<\/span>(<\/span>orderNo,<\/span> payStatus);<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 引入支付凭证验证机制<\/li> 记录支付交易流水号并与第三方支付平台核对<\/li> 支付状态变更应伴随完整的业务逻辑校验<\/li> <\/ul> 3. 任意文件上传漏洞<\/h3> 漏洞描述<\/strong>：系统仅在前端对上传文件类型进行校验，后端未做任何过滤，导致攻击者可上传任意文件（包括恶意脚本）。<\/p> 漏洞位置<\/strong>：\/upload\/file<\/code>接口<\/p> 攻击步骤<\/strong>：<\/p> 准备一个恶意文件（如webshell.jsp）<\/li> 拦截上传请求<\/li> 修改文件后缀为允许的类型（如.jpg）<\/li> 成功上传恶意文件<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result uploadFile<\/span>(<\/span>MultipartFile file)<\/span> {<\/span> <\/span><\/span> \/\/ 没有对文件后缀、内容类型或内容进行校验 <\/span><\/span><\/span><\/span> String fileName =<\/span> file.<\/span>getOriginalFilename<\/span>();<\/span> <\/span><\/span> String filePath =<\/span> "\/upload\/"<\/span> +<\/span> fileName;<\/span> <\/span><\/span> file.<\/span>transferTo<\/span>(<\/span>new<\/span> File(<\/span>filePath));<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>(<\/span>filePath);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 实施白名单机制，只允许特定文件类型<\/li> 校验文件内容而不仅是扩展名<\/li> 将上传文件存储在非Web可访问目录<\/li> 对上传文件重命名，避免目录遍历攻击<\/li> 限制上传文件大小<\/li> <\/ul> 4. XSS漏洞<\/h3> 漏洞描述<\/strong>：系统在商品信息更新接口中未对用户输入进行过滤，导致存储型XSS漏洞。<\/p> 漏洞位置<\/strong>：\/admin\/goods\/update<\/code>接口<\/p> 攻击步骤<\/strong>：<\/p> 在商品信息字段中插入恶意JavaScript代码<\/li> 提交保存<\/li> 当管理员或其他用户查看该商品时，恶意脚本被执行<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result updateGoods<\/span>(<\/span>@RequestBody<\/span> Map<<\/span>String,<\/span> Object><\/span> data)<\/span> {<\/span> <\/span><\/span> \/\/ 直接使用未过滤的用户输入 <\/span><\/span><\/span><\/span> goodsService.<\/span>updateGoods<\/span>(<\/span>data);<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 对所有用户输入进行HTML实体编码<\/li> 实施内容安全策略(CSP)<\/li> 使用安全的富文本编辑器并配置XSS过滤规则<\/li> 在输出时进行编码，而不仅是输入时<\/li> <\/ul> 四、综合安全建议<\/h2> 输入验证<\/strong>：<\/p> 实施严格的输入验证机制<\/li> 遵循"最小特权"原则，只接受必要的参数<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 实施完善的权限校验机制<\/li> 关键操作需进行二次验证<\/li> <\/ul> <\/li> 安全编码<\/strong>：<\/p> 避免直接拼接SQL语句<\/li> 使用预编译语句防止SQL注入<\/li> 对敏感操作记录详细日志<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 禁用不必要的HTTP方法<\/li> 配置安全HTTP头<\/li> 定期更新依赖组件<\/li> <\/ul> <\/li> 安全测试<\/strong>：<\/p> 实施自动化安全扫描<\/li> 定期进行渗透测试<\/li> 建立代码审计流程<\/li> <\/ul> <\/li> <\/ol> 五、免责声明<\/h2> 本文提供的技术信息仅供参考，不构成任何专业建议<\/li> 读者应遵守《中华人民共和国网络安全法》<\/li> 作者及发布平台不对因使用本文信息导致的任何直接或间接责任或损失负责<\/li> <\/ol>

组件名称<\/th>	组件版本<\/th>	是否存在历史漏洞<\/th> <\/tr> <\/thead>
mybatis<\/td>	2.1.3<\/td>	不存在<\/td> <\/tr>
springfox-swagger2<\/td>	2.7.0<\/td>	不存在<\/td> <\/tr>
springfox-swagger-ui<\/td>	2.7.0<\/td>	不存在<\/td> <\/tr>
commons-fileupload<\/td>	1.6<\/td>	不存在<\/td> <\/tr> <\/tbody> <\/table> 三、单点漏洞审计与分析<\/h2> 1. 水平越权漏洞<\/h3> 漏洞描述<\/strong>：用户可以通过修改请求中的用户ID参数来访问或修改其他用户的信息。<\/p> 漏洞位置<\/strong>：`\/personal\/updateInfo<\/code>接口<\/p>` `攻击步骤<\/strong>：<\/p>` 正常登录用户账户<\/li> 抓取修改用户信息的请求数据包<\/li> 修改请求中的userId<\/code>参数为其他用户的ID<\/li> 成功接管目标用户账户<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result updateUserInfo<\/span>(<\/span>UserInfo userInfo,<\/span> HttpSession httpSession)<\/span> {<\/span> <\/span><\/span> \/\/ 从会话中获取当前用户临时信息 <\/span><\/span><\/span><\/span> UserInfo currentUser =<\/span> (<\/span>UserInfo)<\/span> httpSession.<\/span>getAttribute<\/span>(<\/span>"user"<\/span>);<\/span> <\/span><\/span> <\/span><\/span> \/\/ 直接使用传入的userInfo更新数据库，没有校验传入ID与当前用户ID是否匹配 <\/span><\/span><\/span><\/span> userInfoService.<\/span>updateUserInfo<\/span>(<\/span>userInfo);<\/span> <\/span><\/span> <\/span><\/span> \/\/ 更新会话中的用户信息 <\/span><\/span><\/span><\/span> httpSession.<\/span>setAttribute<\/span>(<\/span>"user"<\/span>,<\/span> userInfo);<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 在更新用户信息前，校验传入的userId<\/code>必须与当前登录用户的ID一致<\/li> 从会话中获取当前用户ID，而不是依赖客户端传入的ID<\/li> <\/ul> 2. 订单状态修改漏洞<\/h3> 漏洞描述<\/strong>：系统仅通过简单的0和1来判断支付状态，攻击者可以绕过支付流程直接修改订单状态为"已支付"。<\/p> 漏洞位置<\/strong>：\/paySuccess<\/code>接口<\/p> 攻击步骤<\/strong>：<\/p> 创建一个未支付的订单<\/li> 抓取支付成功的数据包<\/li> 修改支付状态参数为1（已支付）<\/li> 重放请求，订单状态被非法修改<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result paySuccess<\/span>(<\/span>String orderNo,<\/span> Integer payStatus)<\/span> {<\/span> <\/span><\/span> \/\/ 仅根据订单号和支付状态更新，没有验证支付凭证 <\/span><\/span><\/span><\/span> orderService.<\/span>updateOrderPayStatus<\/span>(<\/span>orderNo,<\/span> payStatus);<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 引入支付凭证验证机制<\/li> 记录支付交易流水号并与第三方支付平台核对<\/li> 支付状态变更应伴随完整的业务逻辑校验<\/li> <\/ul> 3. 任意文件上传漏洞<\/h3> 漏洞描述<\/strong>：系统仅在前端对上传文件类型进行校验，后端未做任何过滤，导致攻击者可上传任意文件（包括恶意脚本）。<\/p> 漏洞位置<\/strong>：\/upload\/file<\/code>接口<\/p> 攻击步骤<\/strong>：<\/p> 准备一个恶意文件（如webshell.jsp）<\/li> 拦截上传请求<\/li> 修改文件后缀为允许的类型（如.jpg）<\/li> 成功上传恶意文件<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result uploadFile<\/span>(<\/span>MultipartFile file)<\/span> {<\/span> <\/span><\/span> \/\/ 没有对文件后缀、内容类型或内容进行校验 <\/span><\/span><\/span><\/span> String fileName =<\/span> file.<\/span>getOriginalFilename<\/span>();<\/span> <\/span><\/span> String filePath =<\/span> "\/upload\/"<\/span> +<\/span> fileName;<\/span> <\/span><\/span> file.<\/span>transferTo<\/span>(<\/span>new<\/span> File(<\/span>filePath));<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>(<\/span>filePath);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 实施白名单机制，只允许特定文件类型<\/li> 校验文件内容而不仅是扩展名<\/li> 将上传文件存储在非Web可访问目录<\/li> 对上传文件重命名，避免目录遍历攻击<\/li> 限制上传文件大小<\/li> <\/ul> 4. XSS漏洞<\/h3> 漏洞描述<\/strong>：系统在商品信息更新接口中未对用户输入进行过滤，导致存储型XSS漏洞。<\/p> 漏洞位置<\/strong>：\/admin\/goods\/update<\/code>接口<\/p> 攻击步骤<\/strong>：<\/p> 在商品信息字段中插入恶意JavaScript代码<\/li> 提交保存<\/li> 当管理员或其他用户查看该商品时，恶意脚本被执行<\/li> <\/ol> 代码分析<\/strong>：<\/p> \/\/ 问题代码逻辑 <\/span><\/span><\/span><\/span>public<\/span> Result updateGoods<\/span>(<\/span>@RequestBody<\/span> Map<<\/span>String,<\/span> Object><\/span> data)<\/span> {<\/span> <\/span><\/span> \/\/ 直接使用未过滤的用户输入 <\/span><\/span><\/span><\/span> goodsService.<\/span>updateGoods<\/span>(<\/span>data);<\/span> <\/span><\/span> return<\/span> Result.<\/span>success<\/span>();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p> 对所有用户输入进行HTML实体编码<\/li> 实施内容安全策略(CSP)<\/li> 使用安全的富文本编辑器并配置XSS过滤规则<\/li> 在输出时进行编码，而不仅是输入时<\/li> <\/ul> 四、综合安全建议<\/h2> 输入验证<\/strong>：<\/p> 实施严格的输入验证机制<\/li> 遵循"最小特权"原则，只接受必要的参数<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 实施完善的权限校验机制<\/li> 关键操作需进行二次验证<\/li> <\/ul> <\/li> 安全编码<\/strong>：<\/p> 避免直接拼接SQL语句<\/li> 使用预编译语句防止SQL注入<\/li> 对敏感操作记录详细日志<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 禁用不必要的HTTP方法<\/li> 配置安全HTTP头<\/li> 定期更新依赖组件<\/li> <\/ul> <\/li> 安全测试<\/strong>：<\/p> 实施自动化安全扫描<\/li> 定期进行渗透测试<\/li> 建立代码审计流程<\/li> <\/ul> <\/li> <\/ol> 五、免责声明<\/h2> 本文提供的技术信息仅供参考，不构成任何专业建议<\/li> 读者应遵守《中华人民共和国网络安全法》<\/li> 作者及发布平台不对因使用本文信息导致的任何直接或间接责任或损失负责<\/li> <\/ol>