JAVA代审之启航电商ERP2.0系统安全审计报告<\/h1>

项目介绍<\/h2>

启航电商ERP系统是一个轻量级现代化的电商业务处理系统，具有以下特点：<\/p>

专注核心订单处理业务，去除大部分不常用功能<\/li>
开放核心API，支持开发者个性化业务需求<\/li>
2.0版本是完整开箱即用的开源电商ERP系统<\/li>
支持多平台多店铺订单、售后、库存等电商核心业务处理<\/li>

兼容平台：淘宝、京东、拼多多、抖店、微信小店等<\/li> <\/ul>

环境搭建<\/h2>

后端环境配置<\/h3>

获取项目<\/strong>：<\/p>

项目地址：https:\/\/gitee.com\/qiliping\/qihangerp<\/li>
下载到本地后等待Maven依赖加载完成<\/li> <\/ul> <\/li>

系统要求<\/strong>：<\/p>

JDK版本：17<\/li>
MySQL版本：8（其他版本需要修改SQL文件编码）<\/li>
Redis：需要配置<\/li> <\/ul> <\/li>

数据库配置<\/strong>：<\/p>

修改配置文件：qihangerp-master\api\src\main\resources\application.yaml<\/code><\/li>
创建数据库并导入SQL文件：docs\/qihang-oms.sql<\/code><\/li> <\/ul> <\/li>
启动后端<\/strong>：<\/p> 配置完成后直接启动<\/li> <\/ul> <\/li> <\/ol> 前端环境配置<\/h3> 进入前端目录<\/strong>：<\/p> cd vue <\/code><\/pre> <\/li> 安装依赖<\/strong>：<\/p> npm install <\/code><\/pre> Node.js版本要求：22.14.0<\/li> <\/ul> <\/li> 修改配置<\/strong>：<\/p> 修改qihangerp-master\vue\nginx.conf<\/code>文件，设置对应后端地址<\/li> <\/ul> <\/li> 启动前端<\/strong>：<\/p> npm run dev <\/code><\/pre> <\/li> <\/ol> 代码审计<\/h2> 权限控制分析<\/h3> JWT认证过滤器<\/strong>：<\/p> 文件位置：qihangerp-master\core\security\src\main\java\cn\qihangerp\security\JwtAuthenticationTokenFilter.java<\/code><\/li> 使用contains<\/code>方法进行路由检查<\/li> 无法通过目录穿越（如\/login\/..\/xxxx<\/code>）绕过<\/li> 整个项目采用前后端分离架构，使用JWT校验<\/li> 未授权访问漏洞风险较低<\/li> <\/ul> <\/li> 越权测试<\/strong>：<\/p> 创建普通账户，登录获取token进行测试<\/li> <\/ul> <\/li> <\/ol> SQL注入漏洞分析<\/h3> 技术栈判断<\/strong>：<\/p> 使用MyBatis作为ORM框架<\/li> <\/ul> <\/li> 潜在注入点查找<\/strong>：<\/p> 全局搜索关键词${<\/code>（MyBatis中可能导致SQL注入的写法）<\/li> <\/ul> <\/li> 漏洞定位<\/strong>：<\/p> 发现一处使用${}<\/code>而非#{}<\/code>的参数拼接<\/li> 调用链：Mapper → Service → Controller<\/li> <\/ul> <\/li> 注入测试<\/strong>：<\/p> 目标路由：\/api\/sys-api\/system\/role\/list<\/code><\/li> 需要先登录获取有效token<\/li> 使用order by<\/code>测试字段数<\/li> 尝试联合查询<\/li> <\/ul> <\/li> 注入限制<\/strong>：<\/p> 某些字段（如u.login_date<\/code>和u.create_time<\/code>）为时间格式<\/li> 直接查询会导致SQL语句报错（类型不匹配）<\/li> 需要将这些字段设置为null<\/code>才能正常回显<\/li> <\/ul> <\/li> <\/ol> 安全建议<\/h2> SQL注入修复<\/strong>：<\/p> 将MyBatis中的${}<\/code>替换为#{}<\/code>预处理方式<\/li> 对必须使用${}<\/code>的情况进行严格过滤<\/li> <\/ul> <\/li> 权限控制增强<\/strong>：<\/p> 虽然当前权限控制较为严格，但仍建议：增加细粒度的权限控制<\/li> 实现基于角色的访问控制(RBAC)<\/li> <\/ul> <\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 对所有用户输入进行严格验证和过滤<\/li> 实现参数化查询<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 增强SQL日志记录<\/li> 监控异常查询行为<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 启航电商ERP2.0系统整体安全性较好，但仍存在SQL注入等安全隐患。开发团队应重点关注MyBatis中${}<\/code>的使用，并加强输入验证和权限控制机制。通过本次审计发现的漏洞，可以有针对性地提升系统安全性。<\/p>