Echo2.3 开源社区系统代码审计报告<\/h1>

1. 项目概述<\/h2>

Echo 是一个基于 SpringBoot 的开源社区系统，主要技术栈包括：<\/p>

Spring Security<\/li> <\/ul>

主要功能模块：<\/p>

数据统计<\/li> <\/ul>

2. 环境搭建<\/h2>

2.1 基础组件安装<\/h3>

Redis<\/strong>：安装简单，使用默认配置即可<\/li>

Zookeeper + Kafka<\/strong>：

Kafka 内置了适配的 Zookeeper，无需单独安装<\/li>
参考安装教程：Kafka安装指南<\/a><\/li> <\/ul> <\/li>
Elasticsearch<\/strong>：
参考安装教程：Elasticsearch安装指南<\/a><\/li>
额外配置：在 elasticsearch.yml<\/code> 中关闭机器学习功能<\/li> <\/ul> <\/li> <\/ol> 2.2 项目配置<\/h3> 修改 src\/main\/resources\/application-develop.properties<\/code> 文件<\/li> 创建数据库并导入提供的 SQL 文件<\/li> 启动 SpringBoot 应用<\/li> <\/ol> 3. 安全审计发现<\/h2> 3.1 SQL 注入防护<\/h3> 审计结论：项目不存在 SQL 注入漏洞<\/p> 所有 SQL 查询都使用预编译处理<\/li> 使用 #{}<\/code> 进行参数绑定<\/li> <\/ul> 3.2 文件上传漏洞<\/h3> 3.2.1 任意文件上传<\/h4> 位置<\/strong>：DiscussPostController.java<\/code> 中的 uploadMdPic<\/code> 方法<\/p> 漏洞详情<\/strong>：<\/p> 未对上传文件的内容和后缀名进行校验<\/li> 允许上传任意类型文件<\/li> 理论上需要登录权限，但可配合鉴权绕过实现未授权上传<\/li> <\/ul> 利用方法<\/strong>：<\/p> <\/span> <\/span><\/span><form<\/span> action<\/span>=<\/span>"http:\/\/target.com\/uploadMdPic"<\/span> method<\/span>=<\/span>"post"<\/span> enctype<\/span>=<\/span>"multipart\/form-data"<\/span>> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"file"<\/span> name<\/span>=<\/span>"file"<\/span>> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"submit"<\/span> value<\/span>=<\/span>"Upload"<\/span>> <\/span><\/span><\/form<\/span>> <\/span><\/span><\/code><\/pre>限制<\/strong>：<\/p> 上传后访问返回 404 错误<\/li> 文件实际已存储到配置的目录中（通过 application-develop.properties<\/code> 配置）<\/li> <\/ul> 3.2.2 图片加载 XSS 尝试<\/h4> 位置<\/strong>：UserController.java<\/code> 中的头像加载功能<\/p> 尝试结果<\/strong>：<\/p> 虽然可以上传 HTML 文件<\/li> 但通过 `` 标签加载时，浏览器会将 HTML 当作破损图片处理<\/li> 无法成功触发 XSS<\/li> <\/ul> 3.3 鉴权绕过漏洞<\/h3> 位置<\/strong>：LoginTicketInterceptor.java<\/code> 中的 preHandle<\/code> 方法<\/p> 漏洞详情<\/strong>：<\/p> 实现了 HandlerInterceptor<\/code> 接口<\/li> preHandle<\/code> 方法在每次请求时执行<\/li> 仅对 ticket<\/code> 有值时进行鉴权<\/li> 当 ticket<\/code> 为 null 时直接返回 true，导致鉴权绕过<\/li> <\/ul> 拦截范围<\/strong>：<\/p> 在 WebMvcConfig.java<\/code> 中配置<\/li> 拦截除静态资源外的所有路径<\/li> <\/ul> 3.4 未授权信息泄露<\/h3> 3.4.1 用户资料遍历<\/h4> 位置<\/strong>：UserController.java<\/code> 中的 getProfilePage<\/code> 方法<\/p> 漏洞详情<\/strong>：<\/p> 路由：@GetMapping("\/profile\/{userId}")<\/code><\/li> 通过 userId 参数获取用户资料<\/li> 配合鉴权绕过可遍历用户信息<\/li> <\/ul> 利用示例<\/strong>：<\/p> GET \/profile\/1 GET \/profile\/2 ... <\/code><\/pre> 3.4.2 用户帖子遍历<\/h4> 位置<\/strong>：UserController.java<\/code> 中的 getMyDiscussPosts<\/code> 方法<\/p> 漏洞详情<\/strong>：<\/p> 通过 userId 获取用户发布的帖子<\/li> 可遍历所有用户帖子<\/li> <\/ul> 3.4.3 用户评论遍历<\/h4> 位置<\/strong>：UserController.java<\/code> 中的 getMyComments<\/code> 方法<\/p> 漏洞详情<\/strong>：<\/p> 通过 userId 获取用户评论\/回复<\/li> 可遍历所有用户评论<\/li> <\/ul> 3.5 权限控制问题<\/h3> 位置<\/strong>：DiscussPostController.java<\/code> 中的 setDelete<\/code> 方法<\/p> 问题详情<\/strong>：<\/p> 删除帖子功能要求 admin 权限<\/li> 权限定义在 SecurityConfig.java<\/code> 的 configure<\/code> 方法中<\/li> 普通用户无权限访问<\/li> <\/ul> 权限确定方式<\/strong>：<\/p> 在 UserService.java<\/code> 的 getAuthorities<\/code> 方法中定义<\/li> 由于鉴权绕过，攻击者连普通用户权限都没有<\/li> <\/ul> 4. 审计方法论<\/h2> 4.1 审计重点<\/h3> Controller 目录<\/strong>：<\/p> 包含所有业务逻辑入口<\/li> 重点关注用户输入处理和权限检查<\/li> <\/ul> <\/li> Interceptor 目录<\/strong>：<\/p> 处理请求拦截和鉴权<\/li> 常见鉴权绕过漏洞位置<\/li> <\/ul> <\/li> Security 配置<\/strong>：<\/p> 检查 SecurityConfig.java<\/code><\/li> 验证权限分配是否合理<\/li> <\/ul> <\/li> <\/ol> 4.2 审计技巧<\/h3> 全局搜索关键词：<\/p> admin<\/code>、role<\/code>、permission<\/code> 等权限相关词<\/li> upload<\/code>、file<\/code> 等文件操作相关词<\/li> sql<\/code>、query<\/code> 等数据库操作相关词<\/li> <\/ul> <\/li> 关注注解：<\/p> @GetMapping<\/code>、@PostMapping<\/code> 等路由定义<\/li> @PreAuthorize<\/code> 等权限注解<\/li> <\/ul> <\/li> 检查输入处理：<\/p> 参数是否经过校验<\/li> 是否使用预编译 SQL<\/li> <\/ul> <\/li> <\/ol> 5. 修复建议<\/h2> 文件上传漏洞<\/strong>：<\/p> 添加文件类型白名单校验<\/li> 检查文件内容有效性<\/li> 设置文件存储隔离<\/li> <\/ul> <\/li> 鉴权绕过<\/strong>：<\/p> 修改 preHandle<\/code> 方法，对无 ticket 请求进行拒绝<\/li> 添加默认权限检查<\/li> <\/ul> <\/li> 信息泄露<\/strong>：<\/p> 添加权限检查，确保用户只能访问自己的数据<\/li> 对敏感信息进行脱敏处理<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 完善权限体系<\/li> 确保前端与后端权限检查一致<\/li> <\/ul> <\/li> <\/ol> 6. 总结<\/h2> 本次审计发现了 Echo2.3 系统中的多个安全问题，主要包括：<\/p> 未授权文件上传<\/li> 鉴权绕过漏洞<\/li> 信息泄露漏洞<\/li> 权限控制不严<\/li> <\/ol> 建议开发团队按照修复建议进行改进，特别是在文件上传和权限控制方面需要重点加强。对于 Java 项目审计，重点关注 Controller 和 Interceptor 是关键切入点。<\/p>