若依(RuoYi)框架全方位安全加固实战指南1. 框架安全现状与加固必要性若依作为国内广泛使用的快速开发框架其默认配置往往以开箱即用为设计目标但这也意味着安全设置可能较为宽松。从渗透测试结果来看常见问题集中在SQL注入、Shiro配置缺陷、计划任务RCE等方面。这些问题本质上源于三个层面组件版本滞后依赖库长期未更新导致已知漏洞未修复配置缺省值风险如Shiro使用默认密钥、未启用严格过滤规则业务逻辑缺陷参数校验缺失、权限控制不严格等代码级问题以下加固方案基于若依4.7.6版本验证覆盖开发、测试、部署全生命周期建议技术团队按照优先级分阶段实施。2. 基础环境安全加固2.1 依赖组件升级策略关键组件的最低安全版本要求组件名称最低安全版本主要修复漏洞Spring Boot2.7.18CVE-2023-34034等RCE漏洞Apache Shiro1.13.0反序列化漏洞(CVE-2022-32532)MyBatis3.5.13SQL注入防护增强Fastjson2.0.39反序列化漏洞修复升级操作示例pom.xml片段properties shiro.version1.13.0/shiro.version fastjson.version2.0.39/fastjson.version /properties提示升级后必须进行完整回归测试特别注意权限相关功能的验证2.2 Shiro安全配置最佳实践密钥强化方案生成256位AES密钥openssl rand -base64 32修改application.ymlshiro: cipherKey: 自定义生成的密钥(替换默认值) cookie: name: RUIYI_SESSION httpOnly: true secure: true # HTTPS环境下启用关键过滤器配置Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean factory new ShiroFilterFactoryBean(); MapString, String filterMap new LinkedHashMap(); // 禁止访问的路径 filterMap.put(/actuator/**, noSessionCreation,anon); filterMap.put(/druid/**, noSessionCreation,anon); factory.setFilterChainDefinitionMap(filterMap); return factory; }3. 代码层安全防护3.1 SQL注入全面防御MyBatis防护方案强制使用参数化查询Select(SELECT * FROM sys_user WHERE user_name #{username}) SysUser findByUserName(Param(username) String username);添加全局过滤器WebConfig.javaBean public FilterRegistrationBean sqlFilter() { FilterRegistrationBean registration new FilterRegistrationBean(); registration.setFilter(new SqlInjectionFilter()); registration.addUrlPatterns(/*); registration.setOrder(Ordered.HIGHEST_PRECEDENCE); return registration; }高风险接口加固示例PostMapping(/role/list) public TableDataInfo list(Validated Role role) { // 使用Bean Validation校验参数 startPage(); ListRole list roleService.selectRoleList(role); return getDataTable(list); }3.2 计划任务安全控制RCE防护措施白名单校验JobUtils.javapublic static void checkMethodAllowed(String invokeTarget) { String[] methods {com.ruoyi.quartz.task.}; boolean allowed Arrays.stream(methods) .anyMatch(invokeTarget::startsWith); if (!allowed) { throw new RuntimeException(非法调用方法); } }执行上下文隔离Bean public ThreadPoolTaskExecutor taskExecutor() { ThreadPoolTaskExecutor executor new ThreadPoolTaskExecutor(); executor.setThreadNamePrefix(ruoyi-task-); executor.setMaxPoolSize(5); // 限制并发数 executor.setTaskDecorator(new MDCTaskDecorator()); // 上下文隔离 return executor; }4. 部署环境加固4.1 容器安全配置Docker最佳实践FROM openjdk:17-jdk-slim USER nobody # 非root运行 COPY --chownnobody:nobody target/ruoyi-admin.jar /app/ WORKDIR /app EXPOSE 8080 ENTRYPOINT [java,-Djava.security.egdfile:/dev/./urandom,-jar,ruoyi-admin.jar]关键启动参数java -jar ruoyi-admin.jar \ -Dserver.tomcat.remoteip.protocol-headerx-forwarded-for \ -Dserver.tomcat.connection-timeout5000 \ -Dspring.servlet.multipart.max-file-size10MB4.2 网络层防护Nginx安全配置示例server { listen 443 ssl; server_name ruoyi.example.com; # TLS配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers on; # 安全头 add_header X-Frame-Options DENY; add_header Content-Security-Policy default-src self; location / { proxy_pass http://localhost:8080; proxy_set_header X-Real-IP $remote_addr; proxy_hide_header X-Powered-By; } # 禁止敏感路径访问 location ~ ^/(actuator|druid) { deny all; } }5. 持续安全监控5.1 日志审计方案ELK日志收集配置logback-spring.xmlappender nameSECURITY classch.qos.logback.core.rolling.RollingFileAppender filelogs/security.log/file filter classch.qos.logback.classic.filter.ThresholdFilter levelWARN/level /filter encoder pattern%d{yyyy-MM-dd HH:mm:ss} [%thread] %-5level %logger{36} - %msg%n/pattern /encoder /appender logger nameorg.springframework.security levelDEBUG additivityfalse appender-ref refSECURITY / /logger关键监控指标异常登录尝试频率SQL语句执行时间异常计划任务执行失败率敏感接口调用频次5.2 定期安全检查清单组件漏洞扫描mvn org.owasp:dependency-check-maven:check配置审计项目[ ] Shiro密钥是否已更换[ ] 数据库连接是否使用SSL[ ] 是否禁用Swagger等开发接口[ ] 文件上传目录是否设置为不可执行渗透测试要点使用Burp Suite测试所有API接口验证CSRF Token有效性检查JWT令牌过期时间设置在实际项目部署中我们发现最容易被忽视的是Shiro的rememberMe密钥修改。曾有客户系统因此遭遇反序列化攻击导致整个内网沦陷。建议将密钥更换纳入部署初始化脚本避免人工操作遗漏。
若依(RuoYi)框架安全加固指南:从开发到部署,如何避免成为下一个被‘一把梭哈’的目标
若依(RuoYi)框架全方位安全加固实战指南1. 框架安全现状与加固必要性若依作为国内广泛使用的快速开发框架其默认配置往往以开箱即用为设计目标但这也意味着安全设置可能较为宽松。从渗透测试结果来看常见问题集中在SQL注入、Shiro配置缺陷、计划任务RCE等方面。这些问题本质上源于三个层面组件版本滞后依赖库长期未更新导致已知漏洞未修复配置缺省值风险如Shiro使用默认密钥、未启用严格过滤规则业务逻辑缺陷参数校验缺失、权限控制不严格等代码级问题以下加固方案基于若依4.7.6版本验证覆盖开发、测试、部署全生命周期建议技术团队按照优先级分阶段实施。2. 基础环境安全加固2.1 依赖组件升级策略关键组件的最低安全版本要求组件名称最低安全版本主要修复漏洞Spring Boot2.7.18CVE-2023-34034等RCE漏洞Apache Shiro1.13.0反序列化漏洞(CVE-2022-32532)MyBatis3.5.13SQL注入防护增强Fastjson2.0.39反序列化漏洞修复升级操作示例pom.xml片段properties shiro.version1.13.0/shiro.version fastjson.version2.0.39/fastjson.version /properties提示升级后必须进行完整回归测试特别注意权限相关功能的验证2.2 Shiro安全配置最佳实践密钥强化方案生成256位AES密钥openssl rand -base64 32修改application.ymlshiro: cipherKey: 自定义生成的密钥(替换默认值) cookie: name: RUIYI_SESSION httpOnly: true secure: true # HTTPS环境下启用关键过滤器配置Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean factory new ShiroFilterFactoryBean(); MapString, String filterMap new LinkedHashMap(); // 禁止访问的路径 filterMap.put(/actuator/**, noSessionCreation,anon); filterMap.put(/druid/**, noSessionCreation,anon); factory.setFilterChainDefinitionMap(filterMap); return factory; }3. 代码层安全防护3.1 SQL注入全面防御MyBatis防护方案强制使用参数化查询Select(SELECT * FROM sys_user WHERE user_name #{username}) SysUser findByUserName(Param(username) String username);添加全局过滤器WebConfig.javaBean public FilterRegistrationBean sqlFilter() { FilterRegistrationBean registration new FilterRegistrationBean(); registration.setFilter(new SqlInjectionFilter()); registration.addUrlPatterns(/*); registration.setOrder(Ordered.HIGHEST_PRECEDENCE); return registration; }高风险接口加固示例PostMapping(/role/list) public TableDataInfo list(Validated Role role) { // 使用Bean Validation校验参数 startPage(); ListRole list roleService.selectRoleList(role); return getDataTable(list); }3.2 计划任务安全控制RCE防护措施白名单校验JobUtils.javapublic static void checkMethodAllowed(String invokeTarget) { String[] methods {com.ruoyi.quartz.task.}; boolean allowed Arrays.stream(methods) .anyMatch(invokeTarget::startsWith); if (!allowed) { throw new RuntimeException(非法调用方法); } }执行上下文隔离Bean public ThreadPoolTaskExecutor taskExecutor() { ThreadPoolTaskExecutor executor new ThreadPoolTaskExecutor(); executor.setThreadNamePrefix(ruoyi-task-); executor.setMaxPoolSize(5); // 限制并发数 executor.setTaskDecorator(new MDCTaskDecorator()); // 上下文隔离 return executor; }4. 部署环境加固4.1 容器安全配置Docker最佳实践FROM openjdk:17-jdk-slim USER nobody # 非root运行 COPY --chownnobody:nobody target/ruoyi-admin.jar /app/ WORKDIR /app EXPOSE 8080 ENTRYPOINT [java,-Djava.security.egdfile:/dev/./urandom,-jar,ruoyi-admin.jar]关键启动参数java -jar ruoyi-admin.jar \ -Dserver.tomcat.remoteip.protocol-headerx-forwarded-for \ -Dserver.tomcat.connection-timeout5000 \ -Dspring.servlet.multipart.max-file-size10MB4.2 网络层防护Nginx安全配置示例server { listen 443 ssl; server_name ruoyi.example.com; # TLS配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers on; # 安全头 add_header X-Frame-Options DENY; add_header Content-Security-Policy default-src self; location / { proxy_pass http://localhost:8080; proxy_set_header X-Real-IP $remote_addr; proxy_hide_header X-Powered-By; } # 禁止敏感路径访问 location ~ ^/(actuator|druid) { deny all; } }5. 持续安全监控5.1 日志审计方案ELK日志收集配置logback-spring.xmlappender nameSECURITY classch.qos.logback.core.rolling.RollingFileAppender filelogs/security.log/file filter classch.qos.logback.classic.filter.ThresholdFilter levelWARN/level /filter encoder pattern%d{yyyy-MM-dd HH:mm:ss} [%thread] %-5level %logger{36} - %msg%n/pattern /encoder /appender logger nameorg.springframework.security levelDEBUG additivityfalse appender-ref refSECURITY / /logger关键监控指标异常登录尝试频率SQL语句执行时间异常计划任务执行失败率敏感接口调用频次5.2 定期安全检查清单组件漏洞扫描mvn org.owasp:dependency-check-maven:check配置审计项目[ ] Shiro密钥是否已更换[ ] 数据库连接是否使用SSL[ ] 是否禁用Swagger等开发接口[ ] 文件上传目录是否设置为不可执行渗透测试要点使用Burp Suite测试所有API接口验证CSRF Token有效性检查JWT令牌过期时间设置在实际项目部署中我们发现最容易被忽视的是Shiro的rememberMe密钥修改。曾有客户系统因此遭遇反序列化攻击导致整个内网沦陷。建议将密钥更换纳入部署初始化脚本避免人工操作遗漏。
