JAVA代码审计实战教程-迷你天猫商城

一、项目概述 本项目是一个基于Spring Boot技术实现的B2C型电商平台，迷你天猫商城。其设计理念借鉴了天猫网站的购物体验，从用户注册、登录，到浏览商品、添加至购物车、下单、确认收货以及评论等一系列流程，均有详尽设计。天猫数据管理后台是其核心部分之一，实现了对商品、订单、类别、用户以及交易额的全方位管理和维护。

二、项目设置

1. 系统要求：Windows 10。
2. Java版本：1.8.0_261。
3. Mysql版本：5.7，建议使用PHPstudy集成版本。
4. IDEA版本不做特别要求。
5. 项目部署流程：导入数据库、启动环境。

三、代码审计

1. 第三方组件漏洞 本项目基于Maven构建，首先从pom.xml文件开始审计，检查引入的第三方组件是否存在漏洞版本，并进一步验证该组件是否存在漏洞点。
2. 组件漏洞 在审计pom.xml文件中引入的第三方插件时，发现Fastjson、Log4j、Mybatis引入存在漏洞的版本，我们进一步验证这些潜在漏洞。
3. Fastjson命令执行漏洞、Log4j命令执行漏洞和Mybatis漏洞代码审计

四、SQL注入漏洞 全局搜索关键字，确实存在几处�������使用了，确实存在几处orderby使用了拼接SQL语句，因为order by是无法使用#{}的。

五、XSS漏洞 在filter层并没有关于防护XSS的代码。

六、任意文件上传代码审计 我们先去查看一下引入的相关依赖。

这次，我们先关注本项目的管理员头像上传文件上传功能，进行代码审计。