您现在的位置是：首页 > 文章详情

Spring Boot 项目 90% 存在这 15 个致命漏洞！你的代码在裸奔吗？

日期：2025-03-24点击：72收藏

文章首发公众号【风象南】

Spring Boot 作为一款广泛使用的 Java 开发框架，虽然为开发者提供了诸多便利，但也并非无懈可击，其安全漏洞问题不容忽视。本文将深入探讨 Spring Boot 常见的安全漏洞类型、产生原因以及相应的解决方案，帮助开发者更好地保障应用程序的安全。

1. SQL 注入漏洞

漏洞描述： 当应用程序使用用户输入的数据来构建 SQL 查询时，如果没有进行适当的过滤或转义，攻击者就可以通过构造恶意的 SQL 语句来访问、修改甚至删除数据库中的数据。

危险指数： 💥💥💥💥💥

反面示例：

@GetMapping("/users") public List<User> getUsers(@RequestParam String username) { String sql = "SELECT * FROM users WHERE username = '" + username + "'"; // ... 执行 SQL 查询 }

解决方案：

使用参数化查询：使用 JPA 或 MyBatis 等 ORM 框架，避免直接拼接 SQL 语句。
使用 PreparedStatement：如果必须手写 SQL，请使用 PreparedStatement。
输入验证：对用户输入进行严格验证，过滤特殊字符。

正确示例：

@GetMapping("/users") public List<User> getUsers(@RequestParam String username) { return userRepository.findByUsername(username); } // UserRepository.java public interface UserRepository extends JpaRepository<User, Long> { List<User> findByUsername(String username); }

2. 跨站脚本攻击（XSS）漏洞

漏洞描述： 攻击者通过在 Web 页面中注入恶意脚本，当其他用户访问该页面时，这些脚本就会在用户的浏览器中执行，从而窃取用户信息、篡改页面内容等。

危险指数： 💥💥💥💥

解决方案：

输出编码：对所有输出到 Web 页面的数据进行 HTML 编码。
使用 Thymeleaf 等模板引擎：它们默认会对输出进行 HTML 转义。
配置 Content-Security-Policy：限制页面可以加载和执行的资源。
使用 Spring Security 的 XSS 保护：启用 XSS 防护头。

正确示例：

// 在 Spring Security 配置中启用 XSS 保护 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.headers().xssProtection().and().contentSecurityPolicy("script-src 'self'"); } }

3. 敏感信息泄露

漏洞描述： 配置文件中的数据库凭证、API 密钥等敏感信息可能通过日志、异常信息或者 API 响应泄露。

危险指数： 💥💥💥💥

解决方案：

配置外部化：使用环境变量或外部配置文件存储敏感信息。
加密敏感数据：使用 Jasypt 等工具加密配置文件中的敏感信息。
日志脱敏：在记录日志时，对敏感信息进行脱敏处理。
异常处理：自定义异常处理器，避免将详细的异常信息返回给客户端。

正确示例：

// 使用 @Value 注入环境变量 @Value("${database.password}") private String dbPassword; // 或者使用 Spring Boot 的配置属性类 @ConfigurationProperties(prefix = "database") public class DatabaseProperties { private String password; // getters and setters }

4. 跨站请求伪造（CSRF）漏洞

漏洞描述： 攻击者诱导用户访问一个包含恶意请求的网站，利用用户已登录的身份，在用户不知情的情况下执行操作。

危险指数： 💥💥💥

解决方案：

启用 Spring Security 的 CSRF 保护：Spring Security 默认开启 CSRF 保护。
使用 CSRF Token：在表单中添加 CSRF Token，并在服务器端验证。
对敏感操作使用验证码或二次确认：增加额外的验证步骤。

正确示例：

<!-- 在 Thymeleaf 模板中添加 CSRF Token --> <form th:action="@{/profile/update}" method="post"> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" /> <!-- 表单内容 --> <button type="submit">更新</button> </form>

5. 依赖漏洞

漏洞描述： Spring Boot 项目通常有大量第三方依赖，这些依赖本身可能存在安全漏洞。

危险指数： 💥💥💥

解决方案：

定期更新依赖：使用最新版本的依赖库，修复已知漏洞。
使用漏洞扫描工具：如 OWASP Dependency-Check、Snyk 等。
建立依赖白名单：仅使用经过安全审查的依赖库。

正确示例：

# 使用 Maven 插件检查依赖漏洞 mvn org.owasp:dependency-check-maven:check # 或者使用 Gradle 插件 ./gradlew dependencyCheckAnalyze

6. 访问控制不当

漏洞描述： 未正确实施访问控制，导致用户可以访问或修改他们本不应该访问的资源。

危险指数： 💥💥💥💥

解决方案：

使用 Spring Security 进行权限控制：配置细粒度的访问控制规则。
实施方法级安全：使用 @PreAuthorize、@PostAuthorize 等注解。
最小权限原则：为用户分配最小必要的权限。

正确示例：

@RestController @RequestMapping("/api/admin") public class AdminController { @PreAuthorize("hasRole('ADMIN')") @GetMapping("/users") public List<User> getAllUsers() { // 仅管理员可访问 return userService.findAll(); } }

7. 不安全的反序列化

漏洞描述： 当应用程序反序列化不可信的数据时，攻击者可能利用这一点执行任意代码。

危险指数： 💥💥💥💥

解决方案：

避免使用 Java 原生序列化：使用 JSON、XML 等更安全的格式。
实施白名单验证：限制可以被反序列化的类。
使用 Jackson 的安全设置：配置 Jackson 以防止不安全的反序列化。

正确示例：

ObjectMapper mapper = new ObjectMapper(); // 禁用所有默认类型信息的使用 mapper.disableDefaultTyping(); // 或者在新版本中使用 mapper.activateDefaultTyping( LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NONE );

8. 安全配置错误

漏洞描述： 默认配置、开发环境配置或不安全的配置可能导致安全漏洞。

危险指数： 💥💥💥

解决方案：

使用多环境配置：为开发、测试、生产环境使用不同的配置。
安全审查配置：在部署前审查所有配置项。
禁用开发工具：在生产环境中禁用 Spring Boot Actuator 的敏感端点。

正确示例：

# application-prod.yml spring: security: headers: xss: true content-type: true frame: true cache: true boot: admin: client: enabled: false management: endpoints: web: exposure: include: health,info

9. 文件上传漏洞

漏洞描述： 未对上传的文件进行严格校验和限制，可能导致攻击者上传恶意文件（如 JSP 木马、WebShell 等），或进行服务器端文件包含攻击。

危险指数： 💥💥💥💥

解决方案：

文件类型验证：验证文件扩展名和 MIME 类型。
文件大小限制：设置合理的文件大小上限。
重命名文件：使用随机文件名，避免文件覆盖。
存储路径限制：将文件存储在 Web 根目录之外。
杀毒检查：对上传的文件进行病毒扫描。

正确示例：

@PostMapping("/upload") public ResponseEntity<String> uploadFile(@RequestParam("file") MultipartFile file) { // 检查文件类型 String contentType = file.getContentType(); if (!Arrays.asList("image/jpeg", "image/png", "image/gif").contains(contentType)) { return ResponseEntity.badRequest().body("不支持的文件类型"); } // 检查文件大小 if (file.getSize() > 5 * 1024 * 1024) { // 5MB return ResponseEntity.badRequest().body("文件过大"); } // 生成随机文件名 String fileName = UUID.randomUUID().toString() + file.getOriginalFilename().substring(file.getOriginalFilename().lastIndexOf(".")); // 保存到安全路径 Path uploadPath = Paths.get("/app/uploads").resolve(fileName); try { Files.copy(file.getInputStream(), uploadPath, StandardCopyOption.REPLACE_EXISTING); return ResponseEntity.ok("上传成功"); } catch (IOException e) { return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body("上传失败"); } }

10. 密码安全存储

漏洞描述： 使用不安全的方式存储用户密码（如明文存储、简单 MD5 加密等），一旦数据库泄露，用户密码就会被暴露。

危险指数： 💥💥💥💥💥

解决方案：

使用强哈希算法：采用 BCrypt、PBKDF2 等专门的密码哈希算法。
加盐处理：为每个密码添加随机盐值。
使用 Spring Security 的密码编码器：利用框架提供的安全机制。
密码强度校验：要求用户设置强密码。
定期密码更新：提醒用户定期更换密码。

正确示例：

@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); // 使用 12 轮加密 } } @Service public class UserService { @Autowired private PasswordEncoder passwordEncoder; public void createUser(UserDTO userDTO) { // 密码强度校验 if (!isPasswordStrong(userDTO.getPassword())) { throw new InvalidPasswordException("密码强度不够"); } User user = new User(); user.setUsername(userDTO.getUsername()); // 使用 BCrypt 加密存储密码 user.setPassword(passwordEncoder.encode(userDTO.getPassword())); userRepository.save(user); } private boolean isPasswordStrong(String password) { // 密码至少8位，包含大小写字母、数字和特殊字符 String pattern = "^(?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%^&+=])(?=\S+$).{8,}$"; return password.matches(pattern); } } // 密码校验工具类 @Component public class PasswordValidator { public static final String PASSWORD_PATTERN = "^(?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%^&+=])(?=\S+$).{8,}$"; public boolean validate(String password) { Pattern pattern = Pattern.compile(PASSWORD_PATTERN); return pattern.matcher(password).matches(); } public String getPasswordRequirements() { return "密码必须包含：\n" + "- 至少8个字符\n" + "- 至少一个大写字母\n" + "- 至少一个小写字母\n" + "- 至少一个数字\n" + "- 至少一个特殊字符(@#$%^&+=)"; } }

11. 未使用 HTTPS 协议

漏洞描述： 未加密的 HTTP 通信可能导致数据在传输过程中被拦截、篡改或侦听。

危险指数： 💥💥💥💥

解决方案：

使用 HTTPS：启用 HTTPS 协议，通过 SSL/TLS 进行加密。
配置 HSTS：配置 HTTP 严格传输安全（HSTS）策略，强制浏览器使用 HTTPS。
升级到 TLS 1.2 或以上：确保使用最新的 TLS 协议版本。

正确示例：

// Spring Boot application.properties 中配置 HTTPS server.ssl.enabled=true server.ssl.key-store-type=JKS server.ssl.key-store=classpath:keystore.jks server.ssl.key-store-password=changeit server.ssl.key-alias=tomcat

12. HTTP 安全头配置不当

漏洞描述： 未正确配置 HTTP 安全头，导致应用容易遭受各种 Web 安全攻击，如点击劫持、MIME 类型嗅探等。

危险指数： 💥💥💥

解决方案：

配置安全 HTTP 头：使用 Spring Security 或拦截器配置安全头。
启用关键安全头：

- X-Frame-Options：防止点击劫持
- X-XSS-Protection：启用浏览器 XSS 保护
- X-Content-Type-Options：防止 MIME 类型嗅探
- Strict-Transport-Security：强制使用 HTTPS
- Content-Security-Policy：控制可加载的资源

正确示例：

@Configuration public class SecurityHeaderConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .headers(headers -> headers .frameOptions().deny() .xssProtection() .and() .contentSecurityPolicy( "default-src 'self'; " + "script-src 'self' 'unsafe-inline' 'unsafe-eval'; " + "style-src 'self' 'unsafe-inline'" ) ); } }

13. Actuator端点暴露

漏洞描述： Spring Boot Actuator 默认暴露 /actuator 下的健康检查、配置信息等接口。如果未正确配置权限，攻击者可能通过这些接口获取敏感数据（如数据库连接信息、内存状态），甚至远程执行命令。

危险指数： 💥💥💥💥

反面示例：

# 未做任何安全配置的 application.yml management: endpoints: web: exposure: include: "*" # 暴露所有端点

解决方案：

禁用敏感端点：生产环境仅暴露必要接口（如 health, info）。
配置访问权限：结合 Spring Security 对 Actuator 接口做权限控制。
自定义端点路径：修改默认路径 /actuator 增加隐蔽性。
监控异常请求：对频繁访问 Actuator 的 IP 进行拦截。

正确配置：

# application-prod.yml management: endpoints: web: exposure: include: health,info # 仅开放健康检查 endpoint: shutdown: enabled: false # 关闭危险端点 env: enabled: false spring: security: user: name: admin password: [强密码] # 为 Actuator 设置独立账户

14. CORS 配置不当

漏洞描述： 前后端分离项目中，若跨域资源共享（CORS）配置过于宽松（如允许所有域名、所有方法），攻击者可能利用此漏洞发起 CSRF 攻击或窃取数据。

危险指数： 💥💥💥

反面示例：

// 不安全的全局 CORS 配置 @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") // 允许所有域名 .allowedMethods("*"); // 允许所有 HTTP 方法 } }

解决方案：

最小化允许域名：仅配置可信的前端域名。
限制 HTTP 方法：按需开放 GET/POST 等方法，禁用 PUT/DELETE 等高风险方法。
设置凭证控制：非必要情况下关闭 allowCredentials。
使用注解级配置：替代全局配置，精确控制接口。

正确配置：

@Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("https://your-frontend-domain.com") // 指定前端域名 .allowedMethods("GET", "POST") .allowCredentials(true) // 按需开启 .maxAge(3600); } }

15. 缺少输入验证

漏洞描述： 对用户输入的数据缺少适当的验证，可能导致各种安全问题，例如缓冲区溢出、格式化字符串漏洞等。

危险指数： 💥💥💥💥

解决方案：

白名单验证： 只允许特定的字符或字符组合。
限制输入长度： 对用户输入的长度进行限制。
使用 Bean Validation (JSR-303)： 使用注解进行数据验证。

正确示例：

public class User { @NotBlank(message = "用户名不能为空") @Size(min = 5, max = 20, message = "用户名长度必须在 5 到 20 之间") private String username; @Email(message = "邮箱格式不正确") private String email; // ... } public class UserController{ @PostMapping("/register") public ResponseEntity<String> register(@Valid @RequestBody User user, BindingResult result) { if (result.hasErrors()) { return ResponseEntity.badRequest().body("注册失败：" + result.getAllErrors().get(0).getDefaultMessage()); } // ... } }