Java代码审计实战教学：SSM框架漏洞挖掘与分析<\/h1>

1. 审计环境准备<\/h2>

基础环境配置：<\/strong><\/p>

JDK版本：7u80<\/li>
Web服务器：Tomcat 7<\/li>
构建工具：Maven 3.6.3<\/li>
数据库：MySQL（需根据项目配置修改连接信息）<\/li> <\/ul>
项目结构分析：<\/strong><\/p>
src\/ ├── main\/ │ ├── java\/ # Java源代码目录 │ ├── resources\/ # 资源文件目录 │ │ ├── properties\/ # 属性配置文件 │ │ ├── spring\/ # Spring配置 │ │ ├── springmvc\/ # Spring MVC配置 │ │ └── mybatis\/ # MyBatis配置 │ └── webapp\/ # Web应用资源 │ ├── WEB-INF\/ │ ├── jsp\/ # JSP页面 │ └── static\/ # 静态资源 <\/code><\/pre> 关键配置文件：<\/strong><\/p> pom.xml<\/code> - Maven项目配置文件（组件依赖）<\/li> web.xml<\/code> - Web应用部署描述文件<\/li> applicationContext.xml<\/code> - Spring全局配置<\/li> spring-mvc.xml<\/code> - Spring MVC配置<\/li> <\/ol> 2. 组件漏洞审计<\/h2> 2.1 已知组件漏洞检查<\/h3> 审计方法：<\/strong><\/p> 检查pom.xml<\/code>中各组件的版本<\/li> 对照CVE数据库验证已知漏洞<\/li> <\/ol> 实例分析：<\/strong><\/p> 发现Log4j版本存在CVE-2019-17571反序列化漏洞<\/li> 通过全局搜索SocketNode<\/code>类确认无调用点<\/li> 结论<\/strong>：即使使用有漏洞组件，若无实际调用则风险可控<\/li> <\/ul> 3. SQL注入漏洞审计<\/h2> 3.1 MyBatis框架下的SQL注入模式<\/h3> 风险模式：<\/strong><\/p> ${}<\/code>直接拼接参数（高危）<\/li> #{}<\/code>预编译参数（安全）<\/li> 特殊场景：LIKE<\/code>、IN<\/code>、ORDER BY<\/code>语句<\/li> <\/ol> 3.2 后台SQL注入实例<\/h3> 漏洞位置：<\/strong><\/p> 文件：ArticleMapper.xml<\/code><\/li> 代码片段：<\/li> <\/ul> <delete<\/span> id=<\/span>"delete"<\/span> parameterType=<\/span>"String"<\/span>><\/span> <\/span><\/span> DELETE FROM edu_article WHERE id IN (${articleId}) <\/span><\/span><\/delete><\/span> <\/span><\/span><\/code><\/pre>调用链分析：<\/strong><\/p> 控制器路径：\/admin\/article\/delete<\/code><\/li> 参数：articleId<\/code>（直接拼接）<\/li> 验证方法：sqlmap -u "\/admin\/article\/delete?articelId=1"<\/code><\/li> <\/ol> 3.3 前台SQL注入实例<\/h3> 漏洞位置：<\/strong><\/p> 文件：CourseFavoritesMapper.xml<\/code><\/li> 代码片段：<\/li> <\/ul> <delete<\/span> id=<\/span>"deleteFavorites"<\/span> parameterType=<\/span>"String"<\/span>><\/span> <\/span><\/span> DELETE FROM edu_course_favorites WHERE id IN (${ids}) <\/span><\/span><\/delete><\/span> <\/span><\/span><\/code><\/pre>调用链分析：<\/strong><\/p> 控制器路径：\/uc\/deleteFaveorite\/{ids}<\/code><\/li> 参数：路径参数直接传递<\/li> 验证方法：使用sqlmap测试路径参数<\/li> <\/ol> 4. XSS漏洞审计<\/h2> 4.1 审计方法论<\/h3> 关键检查点：<\/strong><\/p> 输入点：用户可控的所有参数<\/li> 输出点：所有前端展示位置<\/li> 过滤机制：全局过滤器（web.xml）<\/li> 局部编码处理<\/li> <\/ul> <\/li> <\/ol> 4.2 实例分析<\/h3> 漏洞位置：<\/strong><\/p> 输入流程：<\/p> 控制器：QuestionsController.addQuestions()<\/code><\/li> 参数对象：Questions<\/code>（未过滤直接入库）<\/li> <\/ul> <\/li> 输出流程：<\/p> JSP页面直接输出${question.title}<\/code><\/li> 对比安全输出：<c:out value="${question.content}"\/><\/code><\/li> <\/ul> <\/li> <\/ol> 风险确认：<\/strong><\/p> web.xml无XSS过滤器<\/li> 业务代码无编码处理<\/li> 前端部分输出未编码<\/li> <\/ul> 5. 文件上传漏洞<\/h2> 5.1 漏洞分析<\/h3> 关键代码：<\/strong><\/p> String fileType =<\/span> multipartRequest.<\/span>getParameter<\/span>(<\/span>"fileType"<\/span>);<\/span> <\/span><\/span>String[]<\/span> types =<\/span> fileType.<\/span>split<\/span>(<\/span>","<\/span>);<\/span> <\/span><\/span>\/\/ 检查逻辑缺陷：只要包含任意扩展名即可上传 <\/span><\/span><\/span><\/span>if<\/span>(!<\/span>Arrays.<\/span>asList<\/span>(<\/span>types).<\/span>contains<\/span>(<\/span>ext))<\/span> {<\/span> <\/span><\/span> return<\/span> "error"<\/span>;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>绕过方法：<\/strong><\/p> 构造fileType<\/code>参数包含jsp,jspx<\/code><\/li> 直接上传webshell文件<\/li> <\/ul> 6. 越权漏洞审计<\/h2> 6.1 水平越权实例<\/h3> 漏洞流程：<\/strong><\/p> 请求路径：\/updateUser<\/code><\/li> 参数：userId<\/code>（用户可控）<\/li> 缺陷：无权限校验<\/li> 直接调用userService.updateUser()<\/code><\/li> <\/ul> <\/li> <\/ol> 验证步骤：<\/strong><\/p> 注册用户A（id=70）和用户B（id=71）<\/li> 以用户B登录，修改请求中的userId为70<\/li> 确认用户A信息被篡改<\/li> <\/ol> 7. 综合审计方法论<\/h2> 7.1 审计检查清单<\/h3> 组件安全<\/strong>：<\/p> 检查所有第三方库版本<\/li> 确认实际调用关系<\/li> <\/ul> <\/li> SQL注入<\/strong>：<\/p> 全局搜索${<\/code><\/li> 检查特殊语句（LIKE\/IN\/ORDER BY）<\/li> <\/ul> <\/li> XSS漏洞<\/strong>：<\/p> 确认输出编码机制<\/li> 检查所有用户输入输出路径<\/li> <\/ul> <\/li> 文件上传<\/strong>：<\/p> 检查白名单机制<\/li> 验证解析漏洞<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 检查所有用户身份相关操作<\/li> 验证服务层权限校验<\/li> <\/ul> <\/li> <\/ol> 7.2 工具推荐<\/h3> 静态分析<\/strong>：<\/p> FindBugs\/SpotBugs<\/li> SonarQube<\/li> Semgrep<\/li> <\/ul> <\/li> 动态测试<\/strong>：<\/p> Burp Suite<\/li> sqlmap<\/li> OWASP ZAP<\/li> <\/ul> <\/li> <\/ol> 8. 修复建议<\/h2> SQL注入<\/strong>：<\/p> 使用#{}<\/code>替代${}<\/code><\/li> 特殊场景使用OGNL表达式过滤<\/li> <\/ul> <\/li> XSS防护<\/strong>：<\/p> 添加全局过滤器<\/li> 输出使用<c:out><\/code>或HTML编码<\/li> <\/ul> <\/li> 文件上传<\/strong>：<\/p> 严格白名单校验<\/li> 独立文件存储<\/li> 禁用脚本执行<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 添加服务层权限校验<\/li> 使用Spring Security框架<\/li> <\/ul> <\/li> <\/ol> 9. 总结<\/h2> 本案例展示了SSM框架下的典型漏洞模式，审计过程应重点关注：<\/p> 参数传递与处理方式<\/li> 框架配置与安全机制<\/li> 用户输入输出全链路<\/li> 业务逻辑与权限设计<\/li> <\/ol> 最佳实践建议<\/strong>：结合静态代码审计与动态渗透测试，建立完整的SDL流程。<\/p>