JavaSecLab 综合型Java漏洞平台使用指南

JavaSecLab是一款综合型Java漏洞平台，提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范，覆盖多种漏洞场景，友好用户交互UI，帮助开发者深入理解Java安全漏洞原理与防御机制。

一、核心价值：为什么选择JavaSecLab

1.1 一站式漏洞学习环境：从理论到实践

平台整合了20+种常见Java安全漏洞场景，每个漏洞均提供缺陷代码、修复方案和攻击演示，帮助安全从业者快速建立漏洞认知体系。无论是Web渗透测试人员、代码审计工程师还是安全开发人员，都能在此找到对应的学习案例。

1.2 漏洞场景覆盖：企业级安全实践

覆盖从基础的SQL注入（Structured Query Language Injection）、XSS（Cross-Site Scripting，跨站脚本攻击） 到高级的反序列化漏洞、SSRF（Server-Side Request Forgery，服务器端请求伪造） 等多种漏洞类型，模拟真实业务场景中的安全风险。

图1：平台漏洞场景演示界面，展示反射型XSS漏洞的代码分析与攻击测试

二、环境准备：5分钟配置开发环境

2.1 系统要求检查：确保环境兼容性

请确保您的开发环境满足以下条件：

• JDK 1.8 或更高版本（推荐AdoptOpenJDK 8u312）
• Maven构建工具（项目自动化管理工具）3.6.x
• Docker Engine 20.10+ 与 Docker Compose 2.0+（可选，用于容器化部署）
• MySQL 5.7+ 数据库（推荐使用Docker容器运行）

⚠️ 警示：JDK版本需严格控制在1.8系列，过高版本可能导致部分依赖库不兼容。

2.2 项目获取：两种方式快速入手

🔧 实操：通过Git克隆仓库

git clone https://gitcode.com/gh_mirrors/ja/JavaSecLab
cd JavaSecLab

🔧 实操：验证环境配置

# 检查Java版本
java -version
# 输出示例：openjdk version "1.8.0_312"

# 检查Maven版本
mvn -version
# 输出示例：Apache Maven 3.6.3

三、快速上手：两条路径启动平台

3.1 本地开发启动：代码调试模式

适用于需要修改源码或调试漏洞场景的开发人员。

🔧 实操：数据库初始化

# 导入SQL文件
mysql -u root -p < sql/JavaSecLab.sql
# 输入数据库密码后完成初始化

🔧 实操：配置文件修改

# 修改src/main/resources/application-dev.yml
spring:
  datasource:
    username: root           # 数据库用户名
    password: yourpassword   # 数据库密码
    url: jdbc:mysql://localhost:3306/JavaSecLab?characterEncoding=utf8&serverTimezone=Asia/Shanghai
    # serverTimezone建议根据部署区域调整为Asia/Shanghai

🔧 实操：启动应用

mvn spring-boot:run
# 成功输出示例：
# 2026-02-20 09:50:00.123  INFO 12345 --- [main] top.whgojp.Application  : Started Application in 8.765 seconds

访问 http://localhost:8080 即可看到登录界面：

图2：JavaSecLab平台登录界面，支持验证码登录

3.2 生产部署方案：Docker一键部署

适用于快速搭建演示环境或生产环境部署。

🔧 实操：Docker Compose部署

docker-compose -p javaseclab up -d
# 成功输出示例：
# Creating network javaseclab_JavaSecLabNet ... done
# Creating container-MYSQL8 ... done
# Creating Container-JavaSecLab ... done

图3：Docker Compose部署执行过程，显示服务创建状态

四、深度配置：多环境适配指南

4.1 环境配置对比：开发/测试/生产

配置项	开发环境（application-dev.yml）	测试环境（application-test.yml）	生产环境（application-prod.yml）
日志级别	DEBUG	INFO	WARN
数据库连接	本地MySQL	测试服务器MySQL	主从架构数据库
安全配置	关闭CSRF保护	开启基础防护	全面安全加固
服务端口	8080	8081	80/443

🔧 实操：切换运行环境

# 开发环境（默认）
mvn spring-boot:run -Dspring-boot.run.profiles=dev

# 生产环境
mvn spring-boot:run -Dspring-boot.run.profiles=prod

4.2 核心模块解析：功能架构详解

平台采用模块化设计，核心功能模块包括：

• 漏洞场景模块：位于src/main/java/top/whgojp/modules/，按漏洞类型分类（如xss、sqli、rce等），每个模块包含漏洞演示代码与修复示例。

  例如文件上传漏洞场景： 图4：文件上传导致存储型XSS漏洞的代码分析界面

• 安全组件模块：位于src/main/java/top/whgojp/common/，提供通用安全工具类（如JwtUtil、CheckUserInput）和全局配置（如WebConfig、FilterConfig）。

• 系统管理模块：位于src/main/java/top/whgojp/modules/system/，处理用户认证、日志记录等基础功能。

五、常见问题速查：Q&A解决方案

Q1：启动时报数据库连接失败怎么办？

A1：请检查：

1. MySQL服务是否正常运行：systemctl status mysql
2. 数据库用户名密码是否正确：核对application-dev.yml中的配置
3. 数据库是否已导入SQL文件：确保JavaSecLab库已创建

Q2：Docker部署后无法访问Web界面？

A2：执行以下命令排查：

# 查看容器状态
docker-compose ps
# 查看应用日志
docker logs Container-JavaSecLab

常见原因为端口冲突，可修改docker-compose.yml中的端口映射：

ports:
  - "8088:8080"  # 将8080端口映射到宿主机8088端口

Q3：漏洞测试时提示"权限不足"？

A3：部分漏洞场景需要管理员权限，默认管理员账号：admin/admin123，登录后即可解锁全部功能。

Q4：Maven打包时报依赖下载失败？

A4：配置国内Maven镜像（修改~/.m2/settings.xml）：

<mirror>
  <id>aliyunmaven</id>
  <mirrorOf>central</mirrorOf>
  <name>阿里云公共仓库</name>
  <url>https://maven.aliyun.com/repository/public</url>
</mirror>

Q5：如何添加自定义漏洞场景？

A5：按以下步骤扩展：

1. 在modules目录下创建新漏洞模块（如customvuln）
2. 创建Controller类并添加漏洞演示接口
3. 在前端页面（src/main/resources/templates）添加场景入口
4. 编写漏洞说明文档和修复代码示例

---

通过本指南，您已掌握JavaSecLab平台的搭建与使用方法。无论是漏洞学习、安全编码实践还是安全工具开发，该平台都能提供丰富的场景支持。建议从XSS、SQL注入等基础漏洞开始实践，逐步深入到反序列化、SSRF等高级漏洞场景。