一、项目概述 本项目是一个基于Spring Boot技术实现的B2C型电商平台,迷你天猫商城。其设计理念借鉴了天猫网站的购物体验,从用户注册、登录,到浏览商品、添加至购物车、下单、确认收货以及评论等一系列流程,均有详尽设计。天猫数据管理后台是其核心部分之一,实现了对商品、订单、类别、用户以及交易额的全方位管理和维护。
二、项目设置
- 系统要求:Windows 10。
- Java版本:1.8.0_261。
- Mysql版本:5.7,建议使用PHPstudy集成版本。
- IDEA版本不做特别要求。
- 项目部署流程:导入数据库、启动环境。
三、代码审计
- 第三方组件漏洞 本项目基于Maven构建,首先从pom.xml文件开始审计,检查引入的第三方组件是否存在漏洞版本,并进一步验证该组件是否存在漏洞点。
- 组件漏洞 在审计pom.xml文件中引入的第三方插件时,发现Fastjson、Log4j、Mybatis引入存在漏洞的版本,我们进一步验证这些潜在漏洞。
- Fastjson命令执行漏洞、Log4j命令执行漏洞和Mybatis漏洞代码审计
四、SQL注入漏洞 全局搜索关键字,确实存在几处�������使用了,确实存在几处orderby使用了拼接SQL语句,因为order by是无法使用#{}的。
五、XSS漏洞 在filter层并没有关于防护XSS的代码。
六、任意文件上传代码审计 我们先去查看一下引入的相关依赖。
这次,我们先关注本项目的管理员头像上传文件上传功能,进行代码审计。
© 版权声明
THE END
暂无评论内容