在“攻”方面，传统的通过扫描器扫描站点或利用 NDay来渗透的方式已经受到了很大的制约，现在及未来的典型渗透测试流程是：确定站点指纹→通过旁站扫描备份或开源程序得到源代码→代码审计→利用审计出来的漏洞制定修订措施，所以代码审计能力也越发重要。

在“防”方面，国内有大量网站都曾遭到过拖库，其中相当一部分漏洞是因为代码导致的。如果企业安全人员具备代码审计的能力，能够提前做好代码审计工作，在黑客发现系统漏洞之前找出安全隐患，提前部署相应安全防御措施，可落实“安全左移”，提高应用系统的安全性，从而“治未病”。

在主流的大型应用中，Java俨然成为了首选开发语言。目前国内外大型企业大多采用Java作为核心的开发语言，因此对于安全从业者来说，Java代码审计已经成为了自身应该掌握的关键技能。

市面上最新上架的一本关于Java代码安全审计方面的图书：

Java代码审计（入门篇）

本书是一本Java代码审计入门图书，通过大量的示例介绍代码审计的常用入门知识。全书内容分为9章，主要介绍了代码审计的基础知识、代码审计的环境搭建、辅助工具简介、Java EE基础知识补充、OWASP Top十 2017内外的代码审计经验介绍、JSPXCMS代码审计实战以及IAST与RASP技术的介绍等内容，另外，本书还对Java安全编码规范索引进行了简单的介绍。

本书适合安全从业人员、软件开发人员以及对代码安全感兴趣的读者阅读。

本书内容：

• 初识Java代码审计；
• 代码审计环境搭建；
• 代码审计辅助工具简介；
• Java EE基础知识；
• “OWASP Top 十 2017”漏洞的代码审计；
• “OWASP Top 十 2017”之外常见漏洞的代码审计；
• Java EE开发框架安全审计；
• Jspxcms代码审计实战；
• 小话IAST与RASP。

本书特点

（1）市面上缺乏关于Java代码安全审计图书品种，本书的出版是对其的补充。

（2）从理论到实践，非常适合Java 代码审计的入门学习。

（3）对结构的划分较为合理，可帮助读者由“单点到代码全局”了解漏洞，并达到“从入门到适度提高”的学习目的。

（4）对初学者较为“友好”，可帮助安全人员或研发人员补充实用的预备知识。

（5）设置的案例较为丰富、详实，利于读者掌握较全面的系统知识。

（6）对案例的讲解较为详细，方便读者同步进行实际操作，扎实地掌握知识和技能。

本书结构

在本书编写过程中，遵从的主旨是“通过较详细的漏洞点剖析以及代码审计实战演示帮助读者朋友初步了解Java代码审计，夯实Java代码审计的基本功，并迈入Java代码审计的大门”。为此，我们对内容结构做了如下组织。

（1）第1~4章介绍Java代码审计预备知识。

（2）第5章和第6章介绍典型的Java Web漏洞。

（3）第7章介绍Java EE开发框架安全审计。

（4）第8章介绍开源Java Web应用代码审计实战知识。

（5）第9章介绍“交互式应用程序安全测试”与“运行时应用自保护”的相关知识。

（6）附录帮助读者了解Java安全编码规范。

本书将理论讲解和实验操作相结合，深入浅出、循序渐进，并通过大量的图文解说，方便初学者快速掌握Java代码安全审计的具体方法和流程，并逐步建立对Java代码安全审计的系统性认知。

第1章　初识Java代码审计

本章简单介绍了Java代码安全审计的基本范畴、代码审计的意义、代码审计所需的基础以及Java代码审计的常用思路。

第2章　代码审计环境搭建

本章介绍了Java代码审计环境的搭建方法，主要包括：JDK的下载与安装、Docker的漏洞验证环境搭建、对Weblogic和Tomcat进行远程调试以及项目构建工具的使用等基本知识。

第3章　代码审计辅助工具简介

本章简单介绍了在代码审计过程中需要用到的工具或平台，包括代码编辑器、测试工具、反编译工具、Java代码静态扫描工具以及漏洞信息公开平台。

第4章　Java EE基础知识

本章介绍了Java EE基础知识，主要包括Java EE 分层模型、MVC模式与MVC框架的定义、主流Java MVC框架简介、Servlet知识点、filter知识点、反射机制、ClassLoader类加载机制、Java动态代理和Java Web安全开发框架等基础知识。

第5章　“OWASP Top 10 2017”漏洞的代码审计

本章介绍了“OWASP Top 10 2017”十大Web 应用程序安全风险列表中的典型Java代码审计案例（注入、失效的身份认证、敏感信息泄露、XML外部实体注入、失效的访问控制、安全配置错误、跨站脚本攻击、不安全的反序列化、使用含有已知漏洞组件以及不足的日志记录和监控），这些案例可帮助读者在较短时间内理解并掌握高频漏洞的代码审计关键问题。

第6章　“OWASP Top 10 2017”之外常见漏洞的代码审计

本章主要介绍CSRF 漏洞的原理和实例、SSRF 漏洞的原理和实例、URL 跳转与钓鱼漏洞讲解、文件包含漏洞讲解、文件上传讲解、文件下载讲解、文件写入讲解、文件解压讲解、Web后门讲解、逻辑漏洞讲解、CORS/SCP 介绍、拒绝服务攻击原理和实例、点击劫持漏洞原理和实例、HPP漏洞介绍等知识点，这些知识点能够帮助读者了解漏洞的形成原因，理解漏洞的利用方式以及漏洞修复方法。

第7章　Java EE开发框架安全审计

Java EE开发框架虽然极大提高了生产效率，却可能为Web应用带来致命的危害。本章主要通过详细的代码审计过程讲解SSM、Struts2、Spring Boot等框架的代码审计技巧，以及Struts2远程代码执行漏洞开发框架的错误使用案例。

第8章　Jspxcms代码审计实战

实践是检验漏洞挖掘学习效果的最好方式，通过实践审计，能够帮助审计者了解真实环境中的审计情形，方便审计者体验真实场景。本章主要通过Jspxcms源程序实例讲解了SQL注入、XSS、SSRF以及RCE漏洞的审计过程。

第9章　小话IAST与RASP

IAST是“交互式应用程序安全测试”对代码审计有所补益，RASP（运行时应用自保护）是动态防御的有效技术。本章的主要内容是对IAST与RASP进行简要介绍，并对二者共同的核心模块Java-agent进行实验探究和原理浅析。

附录　Java安全编码规范索引

Java安全编码的核心基础是一系列的编码指南和安全规范。本章的主要内容是向读者朋友分享一些Java 安全编码规范。

Java代码审计 学习路径

细节展示

祝您阅读愉快！