Java代码审计实战：RuoYi 4.2框架安全分析

Java代码审计实战：RuoYi 4.2框架安全分析 1. 环境搭建 框架版本 : RuoYi 4.2 数据库 : MySQL 8.0.32 Community Server JDK版本 : jdk-8u161-windows-x64 构建工具 : Apache Maven 3.2.3 2. Shiro反序列化漏洞分析 2.1 Shiro版本识别 通过查看 pom.xml 文件确认Shiro依赖包版本为1.4.2 2.2 漏洞原理 Shiro(<=1.2.4) : AES加密密钥默认硬编码在代码中，攻击者可利用密钥创建恶意对象 Shiro(1.2.4<=版本<=1.4.1) : 需要合法登录账号，利用RememberMe cookie进行Padding Oracle Attack Shiro(1.4.2<=) : 使用AES-GCM加密模式，密钥爆破难度增加但仍有风险 2.3 漏洞验证 在项目中搜索 CipherKey ，发现密钥硬编码在代码中 使用工具 shiro_attack-2.2.jar 可直接执行命令 3. SQL注入漏洞分析 3.1 漏洞定位方法 全局搜索 ${ 查找SQL注入点 在 SysRoleMapper.xml 中发现第58行使用占位符 $ 而非 # 3.2 漏洞调用链分析 Mapper层 : SysRoleMapper.xml 中使用 ${} 动态拼接SQL DAO层 : 通过左侧箭头快速跳转查看 Service层 : 进入 SysRoleServiceImpl 实现层 Controller层 : SysRoleController 第59行和第69行调用相关方法 3.3 相关实体分析 查看 SysRole 实体类，发现 DataScope 属性，可能影响数据权限控制 4. 审计方法论总结 4.1 组件版本检查 检查关键组件版本（如Shiro）及其已知漏洞 确认加密算法实现方式 4.2 敏感配置检查 查找硬编码的密钥、密码等敏感信息 检查默认配置是否被修改 4.3 SQL注入审计流程 搜索 ${ 定位潜在注入点 分析Mapper→DAO→Service→Controller完整调用链 检查实体类与数据权限控制 4.4 工具辅助验证 使用专用工具（如shiro_ attack）验证漏洞可利用性 结合手动分析确认漏洞真实影响 5. 修复建议 5.1 Shiro安全加固 修改默认加密密钥 考虑升级到最新版本 禁用不必要的功能（如RememberMe） 5.2 SQL注入防护 将 ${} 替换为 #{} 预编译方式 添加输入过滤和参数校验 完善数据权限控制 5.3 整体安全建议 定期进行组件版本更新 避免敏感信息硬编码 实施最小权限原则 建立代码审计流程