【网络安全 | Java代码审计】华夏ERP(jshERP)v2.3
未经许可,不得转载。
文章目录
- 技术框架
- 开发环境
- 代码审计
- 权限校验绕过
- SQL注入
- Fastjson反序列化命令执行
- 存储型XSS
- 越权/未授权重置密码
- 越权/未授权删除用户信息
- 越权/未授权修改用户信息
- 会话固定
- 安全建议
项目地址:https://github.com/jishenghua/jshERP
技术框架
核心框架:SpringBoot 2.0.0
持久层框架:Mybatis 1.3.2
日志管理:Log4j 2.10.0
JS框架:Jquery 1.8.0
UI框架: EasyUI 1.9.4
模板框架: AdminLTE 2.4.0
项目管理框架: Maven 3.2.3
开发环境
IDE: IntelliJ IDEA 2017+
DB: Mysql5.7+
JDK: JDK1.8
Maven: Maven3.2.3+
代码审计
该ERP系统是基于典型的Spring框架。在进行代码审计前,可以优先查看 pom.xml 文件,以分析是否存在漏洞组件。例如,常见的组件漏洞可能包括 CommonsBeanutils 和 Fastjson</