JshERP代码审计报告与安全教学<\/h1>

1. 项目概述<\/h2>

JshERP（原名华夏ERP）是一款基于SpringBoot框架和SaaS模式的开源ERP软件，主要面向中小企业，提供以下功能模块：<\/p>

零售管理<\/li>
采购管理<\/li>
销售管理<\/li>
仓库管理<\/li>
财务管理<\/li>
报表查询<\/li>

系统管理<\/li> <\/ul>

特色功能包括：预付款、收入支出、仓库调拨、组装拆卸、订单管理等，采用多租户架构设计。<\/p>

2. 环境搭建<\/h2>

下载源代码：https:\/\/github.com\/jishenghua\/jshERP<\/code><\/li>
使用IDEA打开工程<\/li>
根据配置文件中的数据库凭据创建数据库<\/li>
导入doc\/<\/code>目录下的数据库文件<\/li>

启动项目<\/li>
<\/ol>
3. 安全漏洞分析<\/h2>
3.1 硬编码凭证<\/h3>
问题描述<\/strong>：<\/p>

配置文件中存在明文存储的数据库凭据和Redis凭据<\/li>
<\/ul>
风险等级<\/strong>：高危<\/p>
修复建议<\/strong>：<\/p>

使用Nacos配置中心<\/li>
使用jasypt等加密库对敏感配置进行加密<\/li>
<\/ul>
3.2 Log4j组件风险<\/h3>
问题描述<\/strong>：<\/p>

使用了风险版本的log4j（1.2.17之前版本）<\/li>
<\/ul>
利用条件<\/strong>：<\/p>

Apache Log4j开启socket端口暴露<\/li>
项目中存在可利用的Gadget<\/li>
<\/ol>
实际风险<\/strong>：<\/p>

第一个条件不满足，无法直接利用<\/li>
<\/ul>
3.3 RestFul API未授权访问<\/h3>
问题描述<\/strong>：<\/p>

应用自动启动的后端API服务暴露doc.html<\/code>文档<\/li>
过滤器对包含\/doc.html<\/code>的请求直接放行<\/li>
<\/ul>
访问方式<\/strong>：

http:\/\/[ip]:[port]\/jshERP-boot\/doc.html<\/code><\/p>
风险<\/strong>：<\/p>

暴露所有API接口和参数说明，可能被攻击者利用<\/li>
<\/ul>
3.4 任意用户密码重置<\/h3>
位置<\/strong>：UserController<\/code><\/p>
问题描述<\/strong>：<\/p>

仅根据UID进行密码重置<\/li>
默认密码硬编码为"123456"<\/li>
使用不安全的MD5哈希处理<\/li>
<\/ol>
代码分析<\/strong>：<\/p>
\/\/ 重置密码逻辑
<\/span><\/span><\/span><\/span>String defaultPassword =<\/span> "123456"<\/span>;<\/span> \/\/ 硬编码弱口令
<\/span><\/span><\/span><\/span>String md5Password =<\/span> MD5Util.<\/span>getMD5<\/span>(<\/span>defaultPassword);<\/span> \/\/ 不安全哈希
<\/span><\/span><\/span><\/span>userService.<\/span>resetPwd<\/span>(<\/span>uid,<\/span> md5Password);<\/span> \/\/ 仅根据UID重置
<\/span><\/span><\/span><\/code><\/pre>多租户设计缺陷<\/strong>：<\/p>

应在"租户ID+用户ID"维度进行密码重置<\/li>
或使用"租户ID+租户管理权限+用户ID"方式<\/li>
<\/ul>
3.5 租户间水平越权<\/h3>
典型位置<\/strong>：<\/p>

用户列表接口<\/li>
用户删除接口<\/li>
<\/ol>
问题描述<\/strong>：<\/p>

仅根据UID进行数据查询和操作<\/li>
未考虑租户隔离<\/li>
导致租户间可互相访问\/修改数据<\/li>
<\/ul>
示例代码<\/strong>：<\/p>
\/\/ 用户查询逻辑
<\/span><\/span><\/span><\/span>public<\/span> User getUser<\/span>(<\/span>Long uid)<\/span> {<\/span>
<\/span><\/span>    return<\/span> userMapper.<\/span>selectByPrimaryKey<\/span>(<\/span>uid);<\/span> \/\/ 仅基于UID查询
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>3.6 普通租户到系统管理员垂直越权<\/h3>
位置<\/strong>：TenantController<\/code><\/p>
问题描述<\/strong>：<\/p>

接口未做角色层面的过滤器拦截<\/li>
操作仅基于ID维度<\/li>
缺少管理员权限校验<\/li>
<\/ul>
风险<\/strong>：<\/p>

普通租户可执行系统管理员操作<\/li>
<\/ul>
3.7 任意文件上传（防御成功案例）<\/h3>
位置<\/strong>：文件上传统一处理方法<\/p>
防御措施<\/strong>：<\/p>

检查文件路径中的"..\/"和"\/"<\/li>
校验Token凭证(X-Access-Token)<\/li>
验证租户信息<\/li>
文件白名单校验<\/li>
<\/ol>
剩余风险<\/strong>：<\/p>

虽然无法直接getshell，但可利用PDF XSS漏洞攻击其他租户用户<\/li>
<\/ul>
4. 多租户安全设计建议<\/h2>


鉴权体系<\/strong>：<\/p>

实现严格的租户隔离<\/li>
基于"租户ID+用户ID+角色权限"进行访问控制<\/li>
<\/ul>
<\/li>

数据隔离<\/strong>：<\/p>

考虑分库分表存储方案<\/li>
明确物理隔离与逻辑隔离的应用场景<\/li>
<\/ul>
<\/li>

租户管理<\/strong>：<\/p>

实现租户内角色划分<\/li>
租户管理员只能管理本租户数据<\/li>
系统管理员需特殊权限控制<\/li>
<\/ul>
<\/li>

API安全<\/strong>：<\/p>

所有接口需进行租户级鉴权<\/li>
敏感操作需二次确认<\/li>
<\/ul>
<\/li>
<\/ol>
5. 总结<\/h2>
JshERP作为多租户ERP系统，在安全设计上存在多个关键问题，主要集中在：<\/p>

缺乏严格的租户隔离<\/li>
权限控制不完善<\/li>
敏感信息处理不当<\/li>
接口访问控制缺失<\/li>
<\/ul>
修复建议应从多租户架构的安全设计入手，建立完善的租户隔离和权限体系，同时对现有漏洞进行针对性修复。<\/p>