本文介绍了Java代码审计的重要性和在攻防研究中的作用,强调了在网络安全中的地位。内容涵盖Java代码审计预备知识、环境搭建、辅助工具、Java Web漏洞剖析、框架安全审计等方面,提供配套视频教程和实战案例,旨在帮助读者入门Java代码审计。
出品|MS08067实验室(www.ms08067.com)
双十一最有意义的事情莫过于是学习一门高级渗透技术了!
代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。代码审计的对象主要是PHP、JAVA、ASP等与WEB相关的语言。
代码审计对攻防研究有着怎样重要的意义?
在“攻”方面,以往的通过扫描器扫描站点或利用nday来渗透的方式已经受到了很大的制约,现在及未来的典型渗透测试流程是:确定站点指纹→通过旁站扫描备份或开源程序拿源码→代码审计→根据审计出漏洞来进行利用,所以代码审计能力也越发变得重要。
在“防”方面,国内有大量网站曾遭到过拖库,其中相当一部分漏洞就是因为代码导致的。如果企业安全人员具备代码审计的能力,能提前做好代码审计工作,在黑客发现系统漏洞之前找出安全隐患,提前部署好相应安全防御措施,可落实“安全左移”,提高应用系统的安全性,从而“治未病”。
而Java Web的应用越来越广泛,已经成为安全测试人员需要直面的问题,在主流的大型应用中,Java俨然成为了首选开发语言。目前国内外大型企业大多都采用了Java作为核心的开发语言,因此对于安全从业者来说,Java代码审计已经成为了自身应该掌握的关键技能。
课程结构:
星球是《Java代码安全审计(入门篇)》图书的配套讲解视频及技术解答,建立的根本性目的是“通过较详细的漏洞点剖析以及代码审计实战演示”帮助读者朋友能够入门Java代码审计,夯实Java代码审计的基本功,从此迈入Java代码审计的大门。
为此,课程视频配合图书的整体结构主要从以下几个方面展开讲解:
1.Java代码审计预备知识(初识Java代码审计、代码审计环境搭建、代码审计辅助工具简介以及Java EE基础补充)
2.典型的Java Web漏洞剖析(“OWASPTop10 2017”之内和之外的漏洞代码审计)
3.Java EE开发框架安全审计(SSM、Struts2、SpringBoot)
4.开源Java Web应用代码审计实战(JspxCMS代码审计实战)
5.“交互式应用程序安全测试”与“运行时应用自保护”等技术(小话IAST与R
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
