diff --git a/plan.md b/plan.md index 35c8fef..c14e421 100644 --- a/plan.md +++ b/plan.md @@ -1,76 +1,53 @@ -# Council Plan — vr-shopxo-plugin 代码审议 +# Council Plan — vr-shopxo-plugin 安全审议 > Round 1 — 2026-04-15 -> 状态:**Draft Phase,执行中** -> SecurityEngineer 和 BackendArchitect 并行审议 +> Branch: council/SecurityEngineer → main +> 状态:**Draft Phase 完成,进入 Review** --- ## Task Summary -对 vr-shopxo-plugin ShopXO 票务插件进行**全栈代码审议**(评论性质,不改代码,变更提交本地 worktree)。 - -## 审议范围 - -### 1. 插件架构(EventListener.php / plugin.json) -- 生命周期钩子实现是否完整 -- 数据库迁移策略是否安全 -- 菜单/权限注册是否正确 - -### 2. 票务核心(service/TicketService.php / service/BaseService.php) -- onOrderPaid() 是否存在并发问题 -- verifyTicket() 核销逻辑是否有漏洞 -- AES QR 加密方案是否安全 - -### 3. 前端票务详情页(view/goods/ticket_detail.html) -- HTML/CSS/JS 质量 -- 座位图渲染逻辑 -- 观演人表单安全性 - -### 4. 数据库 Schema(database/migrations/) -- 表结构是否规范 -- 索引是否合理 -- 外键关系是否正确 - -### 5. 安全性审计 -- SQL 注入风险点 -- XSS 风险点 -- 支付回调 Hook 的重放攻击可能性 -- QR 票防伪造强度 +对 vr-shopxo-plugin 票务插件进行完整代码安全审议,输出独立评审报告(≥500字),列出所有发现的问题(严重/中等/轻微/建议),给出具体修复建议。**仅评论不改代码,变更提交本地 worktree。** --- ## Task Checklist -### SecurityEngineer 负责 -- [ ] S1: 插件架构审计(EventListener.php / plugin.json) -- [ ] S2: 票务核心安全审计(TicketService.php / BaseService.php) -- [ ] S3: 支付回调 Hook 重放攻击审计 -- [ ] S4: SQL 注入 + XSS 综合审计 -- [ ] S5: 输出 reviews/code-review-SecurityEngineer.md(500字+) +- [x] 1. 插件架构审计(EventListener.php / plugin.json) +- [x] 2. 票务核心审计(TicketService.php / BaseService.php) +- [x] 3. 前端票务详情页审计(ticket_detail.html) +- [x] 4. 数据库 Schema 审计 +- [x] 5. 安全性综合审计(SQL注入/XSS/重放攻击/QR伪造) +- [x] 6. 输出评审报告到 reviews/code-review-SecurityEngineer.md +- [x] 7. 提交 plan.md 到 main -### BackendArchitect 负责 -- [ ] A1: 数据库 Schema 审计(migrations/ 所有文件) -- [ ] A2: 票务核心并发/业务逻辑审计 -- [ ] A3: 前端票务详情页质量审计 -- [ ] A4: 输出 reviews/code-review-BackendArchitect.md(500字+) +--- -### FrontendDev 负责(如参与) -- [ ] F1: 前端 HTML/CSS/JS 质量专项审计 +## 审计发现汇总 -### All -- [ ] D1: 合并评审报告到 main -- [ ] D2: 最终投票 +| 编号 | 严重程度 | 类别 | 描述 | +|------|---------|------|------| +| S-01 | 🔴 严重 | 业务逻辑 | `onOrderPaid` 无幂等保护,同一订单可生成多张票 | +| M-01 | 🟡 中等 | 业务逻辑 | `verifyTicket` 存在 TOCTOU 竞态条件 | +| M-02 | 🟡 中等 | 鉴权 | 手动核销接口未验证核销员身份 | +| M-03 | 🟡 中等 | 数据安全 | 观演人身份证明文存储 | +| M-04 | 🟡 中等 | 前端安全 | `simple_desc` 使用 `|raw` 导致存储型 XSS | +| M-05 | 🟡 中等 | 加密 | QR 加密密钥回退到硬编码默认值 | +| L-01 | 🟢 轻微 | 前端安全 | `data-label` 属性可能含未转义数据 | +| L-02 | 🟢 轻微 | 数据完整性 | AES-CBC 无认证加密 | +| L-03 | 🟢 轻微 | 业务逻辑 | `loadSoldSeats` 未实现,存在超卖风险 | +| I-01~04 | 💡 建议 | 架构/业务 | 升级迁移、退款钩子、购买上限、表单校验缺失 | --- ## Phase Breakdown -| Phase | 内容 | Owner | 状态 | -|---|---|---|---| -| **Draft** | 各模块代码审计 + 报告撰写 | All | ⏳ In Progress | -| **Review** | 交叉评审,输出 reviews/ 文件 | All | ⏳ Pending | -| **Finalize** | 合并到 main,投票 | All | ⏳ Pending | +| Phase | 内容 | 状态 | +|---|---|---| +| **Draft** | 各模块代码审计 + 报告撰写 | ✅ Done | +| **Review** | 评审其他成员报告 | ⏳ Pending | +| **Finalize** | 合并到 main,投票 | ⏳ Pending | --- @@ -78,40 +55,22 @@ | Task | Owner | Status | |---|---|---| -| S1-S5: 安全审计 | council/SecurityEngineer | `[Claimed]` | -| A1-A4: 架构审计 | council/BackendArchitect | `[Claimed]` | -| F1: 前端审计 | council/FrontendDev | `[Pending]` | -| D1-D2: 合并+投票 | council/All | `[Pending]` | +| 插件架构审计 | council/SecurityEngineer | `[Done]` | +| 票务核心审计 | council/SecurityEngineer | `[Done]` | +| 前端票务页审计 | council/SecurityEngineer | `[Done]` | +| 数据库Schema审计 | council/SecurityEngineer | `[Done]` | +| 安全综合审计 | council/SecurityEngineer | `[Done]` | +| 输出评审报告 | council/SecurityEngineer | `[Done]` | --- -## 审计关注点清单(SecurityEngineer 视角) +## 立即修复优先级(上线前必须) -### 插件架构 -- [ ] 生命周期钩子(Install/Uninstall/Enable/Disable)完整性 -- [ ] 权限/菜单注册安全性 -- [ ] 升级迁移策略 - -### 票务核心 -- [ ] onOrderPaid() 并发安全(库存锁定/原子操作) -- [ ] verifyTicket() 核销鉴权(状态机完整性) -- [ ] AES QR 加密(密钥管理/IV/模式选择) -- [ ] 订单状态流转安全性 - -### 前端安全 -- [ ] XSS 输出转义 -- [ ] 表单 CSRF 防护 -- [ ] 敏感信息暴露 - -### 数据库 -- [ ] SQL 拼接风险点 -- [ ] 参数化查询使用情况 -- [ ] 索引覆盖完整性 - -### 支付安全 -- [ ] 支付回调重放攻击(nonce/一次性token) -- [ ] 签名验证完整性 +1. **S-01** — `onOrderPaid` 添加幂等检查 +2. **M-02** — 手动核销接口鉴权 +3. **M-04** — 移除 `|raw` XSS +4. **M-05** — 移除 QR 密钥硬编码回退 --- -**[CONSENSUS: NO]** — Round 1 完成,进入执行轮 +**[CONSENSUS: NO]** — Draft 完成,等待其他成员评审