JGTechVision VM 项目安全审计报告
JGTechVision VM 项目安全审计报告
审计日期:2026-06-06
审计范围:D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM全量源码(2537 个文件)
审计方法:静态代码分析 + 模式匹配扫描
一、风险等级总览
| 等级 | 数量 | 说明 |
|---|---|---|
| 严重 (Critical) | 3 | 可导致系统被完全控制或敏感数据泄露 |
| 高危 (High) | 5 | 在特定条件下可被利用 |
| 中危 (Medium) | 5 | 增加攻击面,但不直接导致系统沦陷 |
| 低危 (Low) | 3 | 最佳实践违规,累积风险 |
二、严重风险 (Critical)
C01 — 加密密钥硬编码在源代码中
影响文件:
- [DesEncrypt.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\Helper\Encrypt\DesEncrypt.cs:14)
- [MD5Provider.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\Helper\Encrypt\MD5Provider.cs:15)
问题描述:DES 加密密钥"HZQ.!02192591"和 MD5 盐值"VM.!02192591"以明文形式硬编码在源代码中。任何人获取到源码或反编译可执行文件后,可以:
- 解密所有使用 DES 加密的敏感数据
- 构造 MD5 碰撞或彩虹表破解所有用户密码
代码证据:
// DesEncrypt.cs:14privateconstStringKEY="HZQ.!02192591";// MD5Provider.cs:15str+="VM.!02192591";修复建议:将密钥移至配置文件并通过环境变量或加密存储读取;使用Data Protection API (DPAPI)或Azure Key Vault管理密钥。
C02 — BinaryFormatter 反序列化远程代码执行 (RCE)
影响文件:
- [CloneObject.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\Helper\CloneObject.cs:27)
- [SerializeHelp.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\Helper\SerializeHelp.cs:82,105)
- [SerHelper.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Communacation\Socket\SerHelper.cs:14,26,37)
- [RImage.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\03ThirdPartyDll\VM.Halcon\Config\RImage.cs:137)
问题描述:项目中6 处使用了System.Runtime.Serialization.Formatters.Binary.BinaryFormatter,这是 .NET 中已知的不安全反序列化 API。攻击者可以构造恶意序列化数据,在反序列化时执行任意代码。
攻击面:
| 位置 | 场景 | 风险 |
|---|---|---|
| SerHelper.cs | 网络 Socket 通信中序列化/反序列化消息 | 远程攻击者发送恶意数据包即可 RCE |
| SerializeHelp.cs | 项目文件 (.bin) 的保存和加载 | 诱导用户打开恶意项目文件即可 RCE |
| CloneObject.cs | 对象深拷贝 | 内部使用,风险相对较低但仍不安全 |
| RImage.cs | Halcon 图像 .he 文件格式 | 诱导打开恶意图像文件即可 RCE |
修复建议:
- 将 BinaryFormatter全部替换为安全的序列化器(如
System.Text.Json、Newtonsoft.Json、protobuf-net) - 如果必须使用二进制格式,使用
BinaryWriter/BinaryReader手动序列化已知类型 - 对于 Socket 通信,使用
Google.Protobuf或自定义二进制协议 - 微软官方已声明 BinaryFormatter 为危险 API,计划在未来 .NET 版本中移除
C03 — 默认管理员密码硬编码 + 所有用户共用同一哈希
影响文件:[UserConfig.xml](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\00Exe\ConfigFile\UserConfig.xml:3-6)
问题描述:三个用户(开发者、管理员、操作员)的密码 MD5 哈希值完全相同(4A0FFEDC0382B329DD6DB9B68D01B131),且存储在明文 XML 文件中。结合 C01 中盐值硬编码,攻击者可以:
- 通过彩虹表反查 MD5 哈希得到原始密码
- 用一个密码登录所有三个角色
代码证据:
<UserUserId="1000"UserName="开发者"UserPwd="4A0FFEDC0382B329DD6DB9B68D01B131"/><UserUserId="1001"UserName="管理员"UserPwd="4A0FFEDC0382B329DD6DB9B68D01B131"/><UserUserId="1002"UserName="操作员"UserPwd="4A0FFEDC0382B329DD6DB9B68D01B131"/>修复建议:
- 首次启动时强制要求修改默认密码
- 为每个用户设置独立的初始密码
- 使用 bcrypt/PBKDF2/Argon2 替代 MD5 进行密码哈希
三、高危风险 (High)
H01 — 使用已废弃的弱加密算法
影响文件:
- [MD5Provider.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\Helper\Encrypt\MD5Provider.cs:14)
- [DesEncrypt.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\Helper\Encrypt\DesEncrypt.cs:28,51)
问题描述:
- MD5:已被证明存在碰撞攻击,NIST 早在 2010 年已禁止用于密码哈希等安全场景
- DES:56 位密钥可在数小时内被暴力破解,NIST 已于 2005 年废弃
修复建议:
- 密码哈希:使用
PBKDF2、bcrypt或Argon2id(推荐 Argon2id) - 对称加密:使用
AES-256-GCM(带认证加密),密钥通过Rfc2898DeriveBytes派生
H02 — 通信收发数据以明文记录到日志
影响文件:[ECommunacation.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Communacation\ECommunacation.cs:425,947,951)
问题描述:PLC/串口/TCP 通信的收发数据完整记录到日志文件中,不区分敏感数据:
Logger.AddLog($"[{Key}]接收数据:{str}");// Line 425Logger.AddLog($"[{Key}]发送数据:{str}");// Line 947Logger.AddLog($"[{Key}]发送数据失败",...);// Line 951如果通信中包含产品码、配方参数、工艺密码等敏感信息,会被明文写入日志。
修复建议:
- 对日志中的数据内容进行脱敏处理(遮蔽关键字段)
- 为通信日志设置单独的日志级别(如 Trace),生产环境关闭
- 或使用结构化日志,标记敏感字段不记录
H03 — 所有权限默认全部开启
影响文件:
- [RightControl.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\RightControl\RightControl.cs)
- [IsEnableControl.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Common\RightControl\IsEnableControl.cs)
问题描述:RightControl和IsEnableControl两个权限控制类中,所有 60+ 个权限字段的默认值均为true(全部开启)。这意味着任何新用户登录后默认拥有管理员级别的所有操作权限。权限应该在登录后根据用户角色(开发者/管理员/操作员)动态设置,而非默认全部开放。
修复建议:
- 将默认值改为
false,登录后根据角色按需开启 - 建立角色-权限映射表,在
OnUserChanged事件中统一设置
H04 — 运行时 C# 脚本编译执行
影响文件:
- [ImageScriptViewModel.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\02Plugins…\ImageScriptViewModel.cs:206)
- [CSharpScriptViewModel.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\02Plugins…\CSharpScriptViewModel.cs:86)
- [IfViewModel.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\02Plugins…\IfViewModel.cs:135)
问题描述:项目支持运行时编译和执行 C# 脚本(CompileScript()),这是设计功能,但如果:
- 脚本内容来自外部输入或可被操作员编辑
- 未对脚本执行进行沙箱限制
则操作员可能编写恶意脚本访问文件系统、网络或执行系统命令。
修复建议:
- 限制脚本的 API 白名单(只允许特定的安全方法)
- 使用
AssemblyLoadContext或 AppDomain 沙箱隔离脚本执行 - 仅允许管理员角色编辑脚本内容
- 对脚本内容进行代码审查
H05 — Process.Start 启动外部程序/文件
影响文件:
- [MainViewModel.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\MainViewModel.cs:814-819)
- [MainView.xaml.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\MainView.xaml.cs:50-56)
问题描述:
System.Diagnostics.Processprocess=newSystem.Diagnostics.Process();process.StartInfo.FileName=HelpDecomentFullName;// 帮助文档路径process.StartInfo.Verb="Open";process.Start();帮助文档路径如果来自配置文件且可被低权限用户修改,则可能被替换为恶意可执行文件。
修复建议:
- 对文件路径进行签名验证或哈希校验
- 限制
Process.Start只能打开特定目录下的文件 - 使用
UseShellExecute = false防止执行任意可执行文件
四、中危风险 (Medium)
M01 — BinaryFormatter 用于项目文件持久化
调用链:
LoginView.xaml.cs→SerializeHelp.BinSerializeAndSaveFile(Solution.Ins, ...)MainViewModel.cs→SerializeHelp.BinDeserialize<Solution>(fileName)ToolView.xaml.cs→ 项目导入导出NPointCal.cs→ 标定数据序列化
项目/方案的数据保存使用了BinaryFormatter,虽无网络攻击面,但恶意项目文件可能导致反序列化 RCE。
M02 — SerHelper BinaryFormatter 用于 Socket 通信
[SerHelper.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Communacation\Socket\SerHelper.cs) 用于 TCP/UDP Socket 消息的序列化/反序列化,网络数据直接通过BinaryFormatter.Deserialize()处理,是最危险的反序列化攻击面之一。
M03 — RImage 使用 BinaryFormatter 序列化图像
[RImage.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\03ThirdPartyDll\VM.Halcon\Config\RImage.cs:137) 中的.he格式图像文件通过BinaryFormatter读写,任何人可构造恶意 .he 文件导致 RCE。
M04 — 路径拼接存在遍历风险
[GlobalVarViewModel.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\ViewModels\GlobalVarViewModel.cs:418):
File.Delete(FilePaths.RecipePath+CurrentRecipe);CurrentRecipe如果来自用户输入且未经校验,可能被构造为../../Windows/System32/xxx,导致路径遍历删除任意文件。
M05 — Cookie/凭据明文存储
[LoginView.xaml.cs](D:\JGTechVision\GJTechVisionV1.0.0\01_Sourse - 0603-3\VM\01Main\VM.Start\Dialogs\Views\LoginView.xaml.cs) 中将当前登录用户名写入文件:
SetCurrentUserName(CurrentUser.UserName);存在自动登录功能,若用户名被篡改为管理员,可绕过登录界面。
五、低危风险 (Low)
L01 — 无 HTTPS 强制
项目中存在硬编码的 HTTP URL(如http://www.leibville.com/),未配置 HTTPS。对于本地工控机场景风险较低,但若有远程访问需求则需注意。
L02 — 全局异常捕获可能隐藏攻击痕迹
App.xaml.cs中注册了全局异常捕获,过多的catch (Exception)可能使安全攻击的异常被吞掉,无法被安全监控系统发现。
L03 — 无会话超时机制
用户登录后长期不操作不会自动登出,增加了物理访问场景下被未授权操作的风险。
六、修复优先级建议
| 优先级 | 编号 | 风险 | 预计工作量 |
|---|---|---|---|
| P0(立即) | C02 | BinaryFormatter RCE | 3-5 天 |
| P0(立即) | C03 | 默认密码 / 共用哈希 | 0.5 天 |
| P1(本周) | H01 | 弱加密算法替换 | 1 天 |
| P1(本周) | H03 | 权限默认值修复 | 0.5 天 |
| P1(本周) | M02 | Socket 反序列化 | 1 天 |
| P2(本月) | C01 | 密钥迁移到安全存储 | 1 天 |
| P2(本月) | H02 | 日志脱敏 | 1 天 |
| P2(本月) | H04 | 脚本沙箱 | 2 天 |
| P2(本月) | H05 | Process.Start 限制 | 0.5 天 |
| P3(下版本) | M01/M03/M04/M05 | 其他中危项 | 2 天 |
| P3(下版本) | L01-L03 | 低危项 | 1 天 |
七、附录:扫描关键词清单
| 类别 | 搜索模式 | 命中数 |
|---|---|---|
| 硬编码密码 | password,pwd,secret,token | 30+ (大部分为第三方库) |
| SQL 注入 | Format("...SELECT,"SELECT"+ | 0(项目使用 ORM 参数化) |
| 弱加密 | DES,MD5,SHA1,RC2 | 4 (2 个核心文件) |
| 反序列化 | BinaryFormatter,XmlSerializer | 15+ |
| 命令注入 | Process.Start | 3 |
| 路径遍历 | Path.Combine+ 用户输入 | 1 |
| 日志泄露 | Logger.*password,Log.*pwd | 0 (直接日志) |
| HTTP 明文 | http://(非 localhost) | 1 |