代码审计中常见的漏洞种类有哪些？如何系统性地发现与修复？

代码审计

代码审计中常见的漏洞种类繁多，主要可分为注入类漏洞、身份认证与授权问题、敏感信息泄露、业务逻辑漏洞、第三方组件风险及资源管理问题等六大类，系统性地发现与修复需要结合自动化工具与人工审计，并遵循标准化流程。

一、常见漏洞种类详解

1. 注入类漏洞（OWASP TOP 10首位）

SQL注入：通过恶意构造的SQL语句操控数据库查询。攻击者可借此窃取、篡改或删除数据。

命令注入：在系统命令执行中未过滤用户输入，可导致任意命令执行。

其他注入类型：包括XPath注入、JSON注入、LDAP注入、XXE（XML外部实体）注入等，原理相似但针对不同数据处理场景。

2. 身份认证与授权问题

会话管理缺陷：如JWT安全问题、会话超时设置不当，导致会话劫持。

权限绕过：包括水平越权（访问同级别用户数据）和垂直越权（普通用户获取管理员权限）。

不安全的反序列化：如Java反序列化漏洞，攻击者可构造恶意对象实现远程代码执行。

3. 敏感信息泄露

硬编码密钥：将数据库密码、API密钥等敏感信息直接写入代码或配置文件。

日志泄露：未对日志中的敏感数据（如身份证号、密码）进行脱敏处理。

调试信息暴露：生产环境中遗留调试代码，泄露系统内部结构。

4. 业务逻辑漏洞

权限校验缺失：关键函数未设置权限控制，如智能合约中未添加onlyOwner修饰符的mint函数。

业务流程绕过：如订单金额篡改、重复提交、支付流程绕过等。

竞争条件：多用户并发操作时未加锁，导致库存超卖、余额异常等。

5. 第三方组件风险

已知漏洞依赖：使用含CVE漏洞的第三方库，如Log4j漏洞。

不安全反序列化：Java、Python、PHP等语言的反序列化漏洞，常通过第三方组件引入。

供应链攻击：通过篡改或植入恶意代码到第三方组件实现横向渗透。

6. 资源管理问题

内存泄漏：未正确释放动态分配的堆区内存，导致系统性能下降甚至崩溃。

空指针引用：使用未初始化或已释放的指针，导致系统直接崩溃。

缓冲区溢出：将长于目标的数据拷贝到缓冲区，覆盖相邻区域，可能导致命令执行。

二、系统性发现漏洞的方法

1. 审计方法论选择

白盒审计：基于完整源码进行分析，适用于开发阶段和内部审计。

灰盒审计：结合部分源码和黑盒测试结果，平衡效率与深度，适用于第三方审计。

黑盒审计：无源码情况下通过反编译、中间件分析进行，适用于渗透测试。

2. 自动化工具链应用

SAST工具：使用Fortify、Checkmarx等商业工具进行企业级深度扫描，或SonarQube、Semgrep等开源工具集成到CI/CD。

语言专用工具：如Java的FindSecBugs、Python的Bandit，针对特定语言深度检测。

多工具协同：使用DefectDojo等漏洞管理平台聚合多工具结果，消除重复告警。

3. 人工深度审计技巧

分层审计+关键词追踪：搜索Statement、${}、readObject等危险关键词，跟踪参数流转路径。

数据流分析：从Source（输入点）→ Process（处理过程）→ Sink（危险函数）追踪污染链。

入口点分析：识别Controller、Action、Servlet等入口点，分析参数传播链。

4. 动态验证确认

本地调试验证：在IDE中构造恶意输入，跟踪代码执行流程。

环境复现验证：搭建与生产环境一致的测试环境，使用Burp Suite构造恶意请求。

利用链构造：针对复杂漏洞（如反序列化），结合公开PoC构造完整利用链。

三、系统性修复漏洞的策略

1. 漏洞修复原则

根治性修复 > 临时性修复 > 规避性修复：优先从源头解决问题，而非仅添加防护规则。

结合业务影响评估：不唯CVSS评分论，需综合技术危害与业务影响。

整改闭环管理：修复后必须进行二次审计，确认漏洞彻底消除。

2. 典型漏洞修复方案

SQL注入：使用预编译语句替代字符串拼接，如Java中用PreparedStatement替换Statement。

命令注入：避免直接执行用户输入的命令，改用安全API，如Python中用subprocess.run(['cat', user_input])替代os.system。

敏感信息泄露：将密钥存储在环境变量或专用配置管理工具中，对日志敏感字段进行脱敏。

权限控制漏洞：关键函数添加权限校验，如智能合约中为mint函数添加onlyOwner修饰符。

3. 漏洞管理全流程

漏洞定级：依据CVSS v3.1评分，高危漏洞（9.0-10.0）需48小时内修复。

修复建议：提供具体可操作的修复方案，如"使用参数化查询替代字符串拼接"。

长期优化：建立代码审查流程，集成自动化审计插件至CI/CD流水线。

4. 修复验证与闭环

回归测试：针对修复项进行严格测试，确认无衍生风险。

复测验证：开发团队修复问题后，需再次审计确认。

报告更新：提供终版审计报告，包含修复验证结果，用于等保测评等合规场景。

代码审计不仅是技术问题，更是责任意识的体现。通过系统化的方法识别漏洞，并结合自动化工具与人工审计，遵循"发现-分析-修复-验证"的闭环流程，才能有效提升软件系统的整体安全性。只有将安全融入开发全生命周期，才能真正抵御不断演变的威胁。

标签：代码审计、漏洞类型