NewBee Mall 项目搭建与安全审计教学文档<\/h1>

项目概述<\/h2>
NewBee Mall 是一个基于 Java 的电商系统项目，采用 Spring Boot + MyBatis 技术栈构建。本文档将详细介绍该项目的环境搭建流程和安全审计要点。<\/p>

环境搭建<\/h2>

1. 项目获取<\/h3>

源码地址：https:\/\/github.com\/newbee-ltd\/newbee-mall<\/li>

直接从 GitHub 下载源码到本地<\/li> <\/ul>

2. 开发环境准备<\/h3>

推荐开发工具：<\/strong><\/p>

IDEA（集成开发环境）<\/li>
PHPStudy（Web 环境集成包）<\/li>
Navicat Premium 17（数据库管理工具）<\/li> <\/ul>
3. 数据库配置<\/h3>
关键步骤：<\/strong><\/p>

在 PHPStudy 中启动 Web 环境<\/li>
新建数据库，必须命名为<\/strong>：newbee_mall_db<\/code><\/li>
导入 SQL 文件：\newbee-mall-master\src\main\resources\newbee_mall_schema.sql<\/code><\/li>
修改数据库配置文件，确保数据库名称和用户名正确<\/li> <\/ol> 4. 数据库连接验证<\/h3> 使用 Navicat Premium 17 连接数据库<\/li> 成功连接并显示数据库结构即表示配置正确<\/li> <\/ul> 5. 项目启动<\/h3> 直接访问：http:\/\/localhost:28089\/<\/code><\/li> 成功显示页面表示环境搭建完成<\/li> <\/ul> 安全审计要点<\/h2> 1. 审计准备阶段<\/h3> 重点审查文件：<\/strong><\/p> pom.xml<\/code>：查看项目依赖和版本信息<\/li> README.md<\/code>：了解项目架构和技术栈<\/li> <\/ul> 2. SQL 注入漏洞审计<\/h3> 审计方法：<\/strong><\/p> 识别风险点：<\/strong><\/p> 项目使用 MyBatis，可能存在 SQL 注入风险<\/li> 重点搜索 ${<\/code> 符号，查找 SQL 拼接语句<\/li> <\/ul> <\/li> 实际审计发现：<\/strong><\/p> 经检查未发现 ${}<\/code> 拼接 SQL 的情况<\/li> 项目可能已修复，使用 #{}<\/code> 实现参数预编译<\/li> 具体分析文件：NewBeeMallGoodsMapper.java<\/code><\/li> <\/ul> <\/li> 代码追踪路径：<\/strong><\/p> NewBeeMallGoodsController.java → NewBeeMallGoodsServiceImpl.java → NewBeeMallGoodsMapper.java <\/code><\/pre> <\/li> <\/ol> 3. 权限绕过漏洞审计<\/h3> 常见风险场景：<\/strong><\/p> 水平越权漏洞：<\/strong><\/p> 修改 URL 参数中的用户 ID（+1、-1、随机 ID）<\/li> 尝试访问其他用户的资源<\/li> 检查拦截器（interceptor）配置<\/li> <\/ul> <\/li> 垂直越权漏洞：<\/strong><\/p> 直接访问管理接口（如 \/admin<\/code>）<\/li> 尝试访问内部接口（如 \/internal<\/code>、\/debug<\/code>）<\/li> <\/ul> <\/li> 文件访问权限：<\/strong><\/p> 通过可访问 URL 尝试访问其他用户文件<\/li> 检查路径权限校验和 token 验证机制<\/li> <\/ul> <\/li> <\/ol> 4. 其他安全漏洞审计<\/h3> 需要检查的漏洞类型：<\/strong><\/p> XSS 漏洞：<\/strong><\/p> 检查用户输入过滤机制<\/li> 验证输出编码处理<\/li> <\/ul> <\/li> CSRF 漏洞：<\/strong><\/p> 检查表单令牌验证<\/li> 验证请求来源检查机制<\/li> <\/ul> <\/li> 逻辑漏洞：<\/strong><\/p> 业务流程中的权限校验<\/li> 订单处理、支付等关键业务逻辑<\/li> <\/ul> <\/li> <\/ol> 具体代码审计示例<\/h2> SQL 注入审计深度分析<\/h3> \/\/ 在 NewBeeMallGoodsServiceImpl.java 中 <\/span><\/span><\/span><\/span>@Override<\/span> <\/span><\/span>public<\/span> PageResult getNewBeeMallGoodsPage<\/span>(<\/span>PageQueryUtil pageUtil)<\/span> {<\/span> <\/span><\/span> List<<\/span>NewBeeMallGoods><\/span> goodsList =<\/span> goodsMapper.<\/span>findNewBeeMallGoodsList<\/span>(<\/span>pageUtil);<\/span> <\/span><\/span> int<\/span> total =<\/span> goodsMapper.<\/span>getTotalNewBeeMallGoods<\/span>(<\/span>pageUtil);<\/span> <\/span><\/span> PageResult pageResult =<\/span> new<\/span> PageResult(<\/span>goodsList,<\/span> total,<\/span> pageUtil.<\/span>getLimit<\/span>(),<\/span> pageUtil.<\/span>getPage<\/span>());<\/span> <\/span><\/span> return<\/span> pageResult;<\/span> <\/span><\/span>}<\/span> <\/span><\/span> <\/span><\/span>\/\/ 在 NewBeeMallGoodsController.java 中 <\/span><\/span><\/span><\/span>@RequestMapping<\/span>(<\/span>value =<\/span> "\/goods\/list"<\/span>,<\/span> method =<\/span> RequestMethod.<\/span>GET<\/span>)<\/span> <\/span><\/span>@ResponseBody<\/span> <\/span><\/span>public<\/span> Result list<\/span>(<\/span>@RequestParam<\/span> Map<<\/span>String,<\/span> Object><\/span> params)<\/span> {<\/span> <\/span><\/span> if<\/span> (<\/span>ObjectUtils.<\/span>isEmpty<\/span>(<\/span>params.<\/span>get<\/span>(<\/span>"page"<\/span>))<\/span> ||<\/span> ObjectUtils.<\/span>isEmpty<\/span>(<\/span>params.<\/span>get<\/span>(<\/span>"limit"<\/span>)))<\/span> {<\/span> <\/span><\/span> return<\/span> ResultGenerator.<\/span>genFailResult<\/span>(<\/span>"参数异常！"<\/span>);<\/span> <\/span><\/span> }<\/span> <\/span><\/span> PageQueryUtil pageUtil =<\/span> new<\/span> PageQueryUtil(<\/span>params);<\/span> <\/span><\/span> \/\/ 进一步审计参数处理和 SQL 查询 <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>安全加固建议<\/h2> 1. SQL 注入防护<\/h3> 坚持使用 MyBatis 的参数预编译（#{}<\/code>）<\/li> 避免使用字符串拼接方式构造 SQL<\/li> 对用户输入进行严格的类型检查和长度验证<\/li> <\/ul> 2. 权限控制强化<\/h3> 实现完善的拦截器机制<\/li> 对敏感操作进行多重身份验证<\/li> 实施最小权限原则<\/li> <\/ul> 3. 输入验证和输出编码<\/h3> 对所有用户输入进行验证和过滤<\/li> 实施适当的输出编码防止 XSS<\/li> 使用安全的 API 处理用户数据<\/li> <\/ul> 审计工具和方法<\/h2> 1. 静态代码分析<\/h3> 使用 IDE 的搜索功能查找敏感关键词<\/li> 分析控制器（Controller）中的权限校验逻辑<\/li> 检查配置文件中的安全相关设置<\/li> <\/ul> 2. 动态测试方法<\/h3> 使用 Burp Suite 等工具进行接口测试<\/li> 尝试各种参数篡改和越权访问<\/li> 进行全面的功能测试和边界测试<\/li> <\/ul> 总结<\/h2> NewBee Mall 项目在基础安全方面表现良好，特别是在 SQL 注入防护方面采用了参数预编译机制。但在实际部署和使用过程中，仍需重点关注权限控制机制的完善性，特别是水平越权和垂直越权的防护。建议在正式环境中部署前进行完整的安全测试，并建立持续的安全监控机制。<\/p> 通过本教学文档的学习，安全审计人员可以掌握电商类 Java 项目的安全审计方法和要点，为类似项目的安全评估提供参考框架。<\/p>

NewBee Mall 项目搭建与安全审计教学文档<\/h1>

项目概述<\/h2> NewBee Mall 是一个基于 Java 的电商系统项目，采用 Spring Boot + MyBatis 技术栈构建。本文档将详细介绍该项目的环境搭建流程和安全审计要点。<\/p>

环境搭建<\/h2>

安全审计要点<\/h2>

具体代码审计示例<\/h2>

安全加固建议<\/h2>

审计工具和方法<\/h2>

项目概述<\/h2>
NewBee Mall 是一个基于 Java 的电商系统项目，采用 Spring Boot + MyBatis 技术栈构建。本文档将详细介绍该项目的环境搭建流程和安全审计要点。<\/p>