Java代码审计教学文档：学生管理系统安全分析<\/h1>

1. 背景与目标<\/h2>

本教学文档基于一个典型的学生管理系统Java项目进行代码审计实践，目标是：<\/p>

掌握Java CMS系统代码审计的基本流程<\/li>
建立Java代码审计的checklist<\/li>

识别常见安全漏洞及其修复方法<\/li> <\/ul>

2. 环境准备<\/h2>

2.1 系统要求<\/h3>

操作系统：Windows 10<\/li>
JDK版本：1.8.0_172<\/li>
数据库：MySQL 5.7（可使用PHPstudy集成环境）<\/li>

开发工具：IDEA 2022.2专业版（版本可自选）<\/li> <\/ul>

2.2 项目部署步骤<\/h3>

从Gitee克隆源码：https:\/\/gitee.com\/huang-yk\/student-manage<\/code><\/li>
创建数据库：cms<\/code><\/li>
导入SQL文件<\/li>
修改核心配置文件：application-local.yml<\/code><\/li>
加载pom.xml<\/code>中的依赖<\/li>
运行启动文件<\/li>

访问系统：http:\/\/localhost:8888\/login\/loginPage<\/code>

默认账号：admin\/123456<\/li>
<\/ul>
<\/li>
<\/ol>
3. 项目结构分析<\/h2>
3.1 目录结构<\/h3>

典型的Spring Boot项目结构<\/li>
包含标准的MVC分层：controller、service、dao、entity等<\/li>
<\/ul>
3.2 技术栈分析（通过pom.xml）<\/h3>

Web框架：Spring Boot<\/li>
数据库访问：MyBatis<\/li>
安全框架：Shiro<\/li>
JSON处理：Fastjson<\/li>
日志组件：Log4j<\/li>
<\/ul>
4. 代码审计实践<\/h2>
4.1 Fastjson反序列化审计<\/h3>
审计方法<\/strong>：<\/p>

使用IDEA全局搜索（Shift+Ctrl+F）以下关键词：

parse(<\/code><\/li>
parseObject(<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
审计结果<\/strong>：<\/p>

未发现反序列化函数调用<\/li>
结论：不存在Fastjson反序列化漏洞<\/li>
<\/ul>
4.2 验证码绕过漏洞<\/h3>
4.2.1 黑盒测试<\/h4>

发现登录页面存在验证码刷新机制<\/li>
使用Burp Suite抓包测试<\/li>
观察发现：

登录失败时不是302跳转回登录页<\/li>
验证码未在后端刷新<\/li>
<\/ul>
<\/li>
<\/ol>
4.2.2 漏洞验证<\/h4>

固定一个验证码值<\/li>
使用Burp Intruder进行暴力破解<\/li>
确认可以绕过验证码限制进行爆破<\/li>
<\/ol>
4.2.3 源码分析<\/h4>
\/\/ 漏洞代码示例（简化版）
<\/span><\/span><\/span><\/span>@PostMapping<\/span>(<\/span>"\/login"<\/span>)<\/span>
<\/span><\/span>public<\/span> String login<\/span>(<\/span>String username,<\/span> String password,<\/span> String captcha)<\/span> {<\/span>
<\/span><\/span>    \/\/ 问题1：验证码未与session绑定
<\/span><\/span><\/span><\/span>    \/\/ 问题2：验证码未在失败后刷新
<\/span><\/span><\/span><\/span>    if<\/span>(!<\/span>captcha.<\/span>equalsIgnoreCase<\/span>(<\/span>当前验证码<\/span>)){<\/span>
<\/span><\/span>        return<\/span> "验证码错误"<\/span>;<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>    \/\/ 验证用户名密码...
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p>

验证码应与session绑定<\/li>
每次验证后无论成功与否都应刷新验证码<\/li>
限制单位时间内尝试次数<\/li>
<\/ol>
4.3 SQL注入审计<\/h3>
审计方法<\/strong>：<\/p>

项目使用MyBatis框架<\/li>
全局搜索 ${<\/code>（MyBatis中表示直接拼接SQL的参数符号）<\/li>
检查DAO层的XML映射文件<\/li>
<\/ol>
审计结果<\/strong>：<\/p>

未发现 ${<\/code> 的使用<\/li>
确认使用 #{}<\/code> 预编译方式<\/li>
结论：不存在SQL注入漏洞<\/li>
<\/ul>
4.4 其他潜在审计点<\/h3>
4.4.1 Shiro配置审计<\/h4>

检查是否使用默认密钥<\/li>
检查rememberMe功能实现<\/li>
检查权限控制是否完善<\/li>
<\/ol>
4.4.2 Log4j配置审计<\/h4>

检查日志配置是否关闭了JNDI查找<\/li>
检查是否有敏感信息记录<\/li>
<\/ol>
4.4.3 XSS审计<\/h4>

检查响应头是否设置了Content-Type<\/li>
检查是否配置了XSS过滤器<\/li>
检查前端渲染方式（如Thymeleaf是否自动转义）<\/li>
<\/ol>
5. Java代码审计Checklist<\/h2>
5.1 组件安全<\/h3>

[ ] Fastjson版本及使用方式<\/li>
[ ] Log4j版本及配置<\/li>
[ ] Shiro配置及实现<\/li>
[ ] MyBatis SQL注入防护<\/li>
<\/ul>
5.2 功能安全<\/h3>

[ ] 认证授权机制<\/li>
[ ] 验证码实现<\/li>
[ ] 会话管理<\/li>
[ ] 敏感操作防护<\/li>
<\/ul>
5.3 输入输出<\/h3>

[ ] XSS防护<\/li>
[ ] CSRF防护<\/li>
[ ] 文件上传验证<\/li>
[ ] 重定向验证<\/li>
<\/ul>
5.4 配置安全<\/h3>

[ ] 生产环境配置<\/li>
[ ] 敏感信息泄露<\/li>
[ ] 错误处理机制<\/li>
<\/ul>
6. 总结<\/h2>
通过本次代码审计实践，我们：<\/p>

确认了验证码绕过漏洞的存在及修复方案<\/li>
验证了Fastjson和MyBatis的安全使用<\/li>
建立了基本的Java代码审计checklist<\/li>
掌握了使用IDEA进行全局搜索的审计技巧<\/li>
<\/ol>
后续建议<\/strong>：<\/p>

扩展审计其他安全风险点<\/li>
对发现的漏洞进行修复验证<\/li>
建立自动化审计流程<\/li>
持续更新审计checklist<\/li>
<\/ol>