梦里寻她千百度 | 新书预告：JAVA代码安全审计（入门篇）

    近期很多读者询问关于《JAVA代码安全审计》一书的出版进展，统一回复下，目前新书《JAVA代码安全审计（入门篇）》11月底已经完成全部书稿并交付出版社，全书分为九章460页，共计25W字，比目前实验室已经出版的图书都要厚（Web安全攻防400页，内网安全攻防420页），由人民邮电出版社出版，定价目前还没有确定。因为中间夹着过年假期，一切顺利的话预计明年3月份就会正式出版！

 

    还有不少粉丝问我能否提前放出新书的一些内容，来，先睹为快！

封面非最终封面！

内容简介

本书由浅入深、全面、系统地介绍了 Java代码审计的流程、Javaweb 漏洞产生的原理以及实战讲解，并力求语言通俗易懂、举例简单明了、便于读者阅读领会。同时结合具体案例进行讲解，可以让读者身临其境，快速的了解和掌握主流的JAVA代码安全审计技巧。

阅读本书不要求读者具备代码审计的相关背景，如有相关经验理解会更有帮助。本书亦可作为大专院校信息安全学科的教材。

 

 本书特点

1. 市面上首本Java代码安全审计书籍，填补了国内没有Java代码安全审计相关技术书籍的空白；

2.  从理论到实践，非常适合入门Java代码审计的学习；

3. 对结构的划分较为合理，可帮助读者由“单点到代码全局”了解漏洞，并达到“从入门到适度提高”；

4. 对初学者较为“友好”，可帮助安全人员或研发人员补充实用的预备知识；

5. 设置的案例较为丰富、详实，可利于读者掌握较全面的知识面；

6.  案例的讲解较为详细，可方便读者跟着随书代码实操，扎实地掌握知识点、技能点。

7.  全书全套源码，工具及环境，配套的Docker镜像等，让你一步到位学会JAVA审计。

 

本书结构

在形式上全书按照理论讲解和实验操作相结合，内容深入浅出、迭代递进，抛弃了一些学术性、纯理论性的内容，所讲述的代码审计技术都是干货、实货。并通过大量的图文解说，可以使初学者很快掌握JAVA代码安全审计的具体方法和流程，一步一个台阶地帮助初学者对JAVA代码安全审计有一个系统性的认知。

 

第1章初识Java代码审计

“故画竹，必先得成竹于胸中”，本章简单介绍了Java代码安全审计的基本范畴、代码审计的意义、代码审计所需的基础以及Java代码审计常用思路。

 

第2章代码审计环境搭建

“环境搭建难倒英雄好汉”，本章介绍了Java代码审计环境的搭建方法，主要包括了：JDK的下载与安装、Docker的漏洞验证环境搭建、对Weblogic和Tomcat进行远程调试以及项目构建工具的使用等基本知识。

 

第3章代码审计辅助工具

“君子生非易也，善假于物也”，本章简单介绍了在代码审计过程中需要用到的工具或平台，它们包括了：代码编辑器、测试工具、反编译工具、Java代码静态扫描工具以及漏洞信息公开平台。

 

第4章Java EE基础知识补充

本章介绍了Java EE基础知识，主要包括Java EE 分层模型、MVC模式与MVC框架的定义、主流Java MVC框架简介、Servlet知识点、filter知识点、反射机制、ClassLoader类加载机制、Java动态代理和Java Web安全开发框架等基础知识。

 

第5章 “OWASP Top10 2017”漏洞的代码审计

本章介绍了“OWASP Top10 2017”十大Web 应用程序安全风险列表中的典型Java代码审计案例（注入、失效的身份认证、敏感信息泄露、XML外部实体注入、失效的访问控制、安全配置错误、跨站脚本攻击、不安全的反序列化、使用含有已知漏洞组件以及不足的日志记录和监控），这些案例可帮助读者在较短时间内理解并掌握高频漏洞的代码审计要领。

 

第6章 “OWASP Top10 2017”之外常见漏洞的代码审计

本章主要介绍了除去OWASP Top10 2017之外的漏洞，主要包括 CSRF 漏洞的原理和实例、SSRF 漏洞的原理和实例、URL 跳转与钓鱼漏洞讲解、文件包含漏洞讲解、文件上传讲解、文件下载讲解、文件写入讲解、文件解压讲解、web 后门讲解、逻辑漏洞讲解、CORS/SCP 介绍、拒绝服务攻击原理和实例、点击劫持漏洞原理和实例、HPP漏洞介绍等知识点，这些知识点能够帮助读者了解漏洞的形成原因，理解漏洞的利用方式以及漏洞修复方法。

 

第7章Java EE开发框架安全审计

JavaEE开发框架虽极大提高了生产效率，却可能给Web应用带来致命的危害。本章主要通过详细的代码审计过程讲解SSM、Struts2、Spring Boot等框架的代码审计技巧，以及Struts2远程代码执行漏洞的开发框架使用不当案例。

 

第8章JspxCMS代码审计实战

实践是检验漏洞挖掘学习效果的最好方式，通过实践审计，能够帮助审计者了解真实环境中的审计是什么情形，也更能够让审计者去体验真实场景的审计。本章主要通过JspxCMS源程序实例讲解了 SQL注入、XSS、SSRF以及RCE漏洞的审计过程。

 

第9章 小话IAST与RASP

IAST是“交互式应用程序安全测试”对代码审计有所补益，RASP是“运行时应用自保护”是动态防御的有效技术。本章的主要内容是对IAST与RASP做简介，并对二者共同的核心模块Java-agent做实验探究和原理浅析。

 

附录 Java安全编码规范索引

“上医治未病”，Java安全编码的核心基础是一系列的编码指南、安全合规。本章的主要内容是向读者朋友分享一些Java 安全编码规范。

 

 

下面是重点：
全书的配套源码和工具，按惯例我们依然会全部放在公众号和网站供读者朋友下载，同时也计划元旦（2021.1.1中午12:30）推出配套的“知识星球”，提供图书视频讲解和技术答疑。届时会有福利活动和优惠，敬请关注！

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群，内部微信群永久有效！

目前30000+人已关注加入我们