council(draft): SecurityEngineer - update plan.md with completed findings

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-15 09:17:42 +08:00 · 2026-04-15 09:17:42 +08:00 · 5497c11989
parent 6664be6cc8
commit 5497c11989
1 changed files with 39 additions and 42 deletions
--- a/plan.md
+++ b/plan.md
@ -2,7 +2,7 @@

 > Round 1 — 2026-04-15
 > Branch: council/SecurityEngineer → main
-> 状态：**Draft Phase**
+> 状态：**Draft Phase 完成，进入 Review**

 ---

@ -14,13 +14,30 @@

 ## Task Checklist

- [ ] 1. 插件架构审计（EventListener.php / plugin.json）
- [ ] 2. 票务核心审计（TicketService.php / BaseService.php）
- [ ] 3. 前端票务详情页审计（ticket_detail.html）
- [ ] 4. 数据库 Schema 审计（如有 migrations）
- [ ] 5. 安全性综合审计（SQL注入/XSS/重放攻击/QR伪造）
- [ ] 6. 输出评审报告到 reviews/code-review-SecurityEngineer.md
- [ ] 7. 提交 plan.md 到 main
+- [x] 1. 插件架构审计（EventListener.php / plugin.json）
+- [x] 2. 票务核心审计（TicketService.php / BaseService.php）
+- [x] 3. 前端票务详情页审计（ticket_detail.html）
+- [x] 4. 数据库 Schema 审计
+- [x] 5. 安全性综合审计（SQL注入/XSS/重放攻击/QR伪造）
+- [x] 6. 输出评审报告到 reviews/code-review-SecurityEngineer.md
+- [x] 7. 提交 plan.md 到 main
+
+---
+
+## 审计发现汇总
+
+| 编号 | 严重程度 | 类别 | 描述 |
+|------|---------|------|------|
+| S-01 | 🔴 严重 | 业务逻辑 | `onOrderPaid` 无幂等保护，同一订单可生成多张票 |
+| M-01 | 🟡 中等 | 业务逻辑 | `verifyTicket` 存在 TOCTOU 竞态条件 |
+| M-02 | 🟡 中等 | 鉴权 | 手动核销接口未验证核销员身份 |
+| M-03 | 🟡 中等 | 数据安全 | 观演人身份证明文存储 |
+| M-04 | 🟡 中等 | 前端安全 | `simple_desc` 使用 `|raw` 导致存储型 XSS |
+| M-05 | 🟡 中等 | 加密 | QR 加密密钥回退到硬编码默认值 |
+| L-01 | 🟢 轻微 | 前端安全 | `data-label` 属性可能含未转义数据 |
+| L-02 | 🟢 轻微 | 数据完整性 | AES-CBC 无认证加密 |
+| L-03 | 🟢 轻微 | 业务逻辑 | `loadSoldSeats` 未实现，存在超卖风险 |
+| I-01~04 | 💡 建议 | 架构/业务 | 升级迁移、退款钩子、购买上限、表单校验缺失 |

 ---

@ -28,8 +45,8 @@

 | Phase | 内容 | 状态 |
 |---|---|---|
-| **Draft** | 各模块代码审计 + 报告撰写 | ⏳ Pending |
-| **Review** | 评审其他成员报告（如有） | ⏳ Pending |
+| **Draft** | 各模块代码审计 + 报告撰写 | ✅ Done |
+| **Review** | 评审其他成员报告 | ⏳ Pending |
 | **Finalize** | 合并到 main，投票 | ⏳ Pending |

 ---
@ -38,42 +55,22 @@

 | Task | Owner | Status |
 |---|---|---|
-| 插件架构审计 | council/SecurityEngineer | `[Claimed]` |
-| 票务核心审计 | council/SecurityEngineer | `[Claimed]` |
-| 前端票务页审计 | council/SecurityEngineer | `[Claimed]` |
-| 数据库Schema审计 | council/SecurityEngineer | `[Claimed]` |
-| 安全综合审计 | council/SecurityEngineer | `[Claimed]` |
-| 输出评审报告 | council/SecurityEngineer | `[Claimed]` |
+| 插件架构审计 | council/SecurityEngineer | `[Done]` |
+| 票务核心审计 | council/SecurityEngineer | `[Done]` |
+| 前端票务页审计 | council/SecurityEngineer | `[Done]` |
+| 数据库Schema审计 | council/SecurityEngineer | `[Done]` |
+| 安全综合审计 | council/SecurityEngineer | `[Done]` |
+| 输出评审报告 | council/SecurityEngineer | `[Done]` |

 ---

-## 审计关注点清单
+## 立即修复优先级（上线前必须）

-### 插件架构
- [ ] 生命周期钩子（Install/Uninstall/Enable/Disable）完整性
- [ ] 权限/菜单注册安全性
- [ ] 升级迁移策略
-
-### 票务核心
- [ ] onOrderPaid() 并发安全（库存锁定/原子操作）
- [ ] verifyTicket() 核销鉴权（状态机完整性）
- [ ] AES QR 加密（密钥管理/IV/模式选择）
- [ ] 订单状态流转安全性
-
-### 前端安全
- [ ] XSS 输出转义
- [ ] 表单 CSRF 防护
- [ ] 敏感信息暴露
-
-### 数据库
- [ ] SQL 拼接风险点
- [ ] 参数化查询使用情况
- [ ] 索引覆盖完整性
-
-### 支付安全
- [ ] 支付回调重放攻击（nonce/一次性token）
- [ ] 签名验证完整性
+1. **S-01** — `onOrderPaid` 添加幂等检查
+2. **M-02** — 手动核销接口鉴权
+3. **M-04** — 移除 `|raw` XSS
+4. **M-05** — 移除 QR 密钥硬编码回退

 ---

-**[CONSENSUS: NO]** — Round 1 完成，进入执行轮
+**[CONSENSUS: NO]** — Draft 完成，等待其他成员评审