Java代码审计前置知识学习

最新推荐文章于 2023-11-16 20:35:32 发布
最新推荐文章于 2023-11-16 20:35:32 发布
阅读量385 收藏 6
点赞数
文章标签: java 学习 servlet 代码复审 Powered by 金山文档
原文链接:https://mp.weixin.qq.com/s?__biz=MzkzMTM1MTI1NA==&mid=2247483754&idx=1&sn=866c94f46cddfaa9efedcf35978087d8&chksm=c26d1ed3f51a97c5fc4be5a19afde20c4f2681586e44ae3391601348a7caca1bfe6667b5e6a3&token=604442083&lang=zh_CN#rd
版权

一、前言

本文是关于分享学习Java代码审计需要的前置知识点学习路径与资源,制定一个整体的一个学习思路与步骤,为后续学习Java代码审计打下基础知识。

二、Java基础

Java基础知识学习途径推荐:

Java 教程 | 菜鸟教程 (runoob.com)

Java学习教程,Java基础教程(从入门到精通) (biancheng.net)

Java 教程_w3cschool

学习Java语言基础知识:

另外,还需安装IDE工具(Eclipse或IDEA)并学会使用。

向Java网络编程、多线程编程等后面遇到了在回过头来学习,先熟悉Java基础语法,面向对象即可。

三、Java Web基础

审计Java开发的web系统需要对Java Web有一定的了解,能看到代码的逻辑,对获取前端传到后端参数的方法、操作cookie、session、解析HTTP等的方法有所了解之后,可以审计一些没涉及到框架的常见的Web类漏洞,了解漏洞的原理、产生的原因以及修复方法。

(一)Tomcat环境安装与配置

Tomcat下载和安装(图解) (biancheng.net)

Tomcat目录结构 (biancheng.net)

了解Tomcat中个目录的作用,所代码的含义。

(二)Servlet

学习途径:

Servlet 教程 | 菜鸟教程 (runoob.com)

Servlet教程 (biancheng.net)

(三)JSP

学习途径:

JSP 教程 | 菜鸟教程 (runoob.com)

JSP教程 (biancheng.net)

(三)JDBC

学习JDBC中操作数据库的常见类和接口的方法,后续审计SQL注入漏洞时能看懂代码,了解JDBC中通过预编译防止SQL注入的方法。

四、框架学习

了解Maven项目管理工具的使用。

对框架有一定的了解后,可以开始学习审计有关框架曾经披露出的漏洞。

五、poc、exp的编写

审计出漏洞后,能够学会写poc、exp。

六、代码审计工具

Fortity、CodePecker、CODEQL等。

weixin_43272406
关注
Java代码审计前置知识——SpringBoot基础
m0_61506558的博客
10-29 1134
(一)SpringBoot简介(一)SpringBoot简介1.1 回顾什么是SpringSpring是一个开源框架,2003 年兴起的一个轻量级的Java 开发框架,作者:Rod Johnson。1.2 Spring是如何简化Java开发的为了降低Java开发的复杂性,Spring采用了以下4种关键策略:1、基于POJO的轻量级和最小侵入性编程,所有东西都是bean;2、通过IOC,依赖注入(DI)和面向接口实现松耦合;3、基于切面(AOP)和惯例进行声明式编程;
Java代码审计前置知识——SpringMVC基础
m0_61506558的博客
10-25 481
Model2这样不仅提高的代码的复用率与项目的扩展性,且大大降低了项目的维护成本。Model 1模式的实现比较简单,适用于快速开发小规模项目,Model1中JSP页面身兼View和Controller两种角色,将控制逻辑和表现逻辑混杂在一起,从而导致代码的重用性非常低,增加了应用的扩展性和维护的难度。Model2消除了Model1的缺点。1.4 回顾ServletSpring MVC是Spring Framework的一部分,是基于Java实现MVC的轻量级Web框架轻量级,简单易
完整的Java代码审计学习笔记资源(免费下载)
10-31
.gitignore 第一的 4年前 自述文件.md 添加一些关于 jndi 的内容 3年前 java代码审计-sqli.md 第一的 4年前 java代码审计-ssrf.md 第一的 4年前 java代码审计-ssti.md 第一的 4年前 java代码审计-xss.md 第一的 4年前 java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md 第一的 4年前 java代码审计-表达式注入.md 第一的
小白从0开始JAVA代码审计——审计前的准备
爱国小白帽
04-30 1526
我们用现成的JavaCodeAudit项目学习审计,它涵盖了一些常见的JAVA漏洞,还有工具和原理介绍,可以说专门为小白准备的,在这里感谢这位大佬的贡献,文中全套工具已打包,公众号内回复JAVA审计领取 项目地址:https://github.com/ANNS666/JavaCodeAudit 环境准备 首先从审计工具及环境搭建开始,以下是用到的工具以及破解教程 MyEclipse 2017 CI Intellij idea Tomcat 7.0 MySQL 8.0.15 Java 1.8.0 mac
Java代码审计入门指南
cdyunaq的博客
05-13 4892
代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。现在主流的审计方式一般都是工具扫描加人工审计的方式,因此在着手Java代码之前我们必须具备一定的Java编程能力,漏洞分析能力,以及局部代码调试能力。本篇文章主要包括Java代码审计学习路线、要学习Java基础和框架、Java代码审计的checklist,使用比较得心应手的工具以及人工做审计时的一些方法总结。 根据 TIOBE 官方新发布了 8 月的编程语言榜单显示Java语言依旧还是稳居前三(排行榜如下),Java语言距今已有2
Java代码审计入门篇
xiaoi123的博客
06-28 8034
作者:i春秋核心白帽yanzmi原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 J...
java代码审计1之基础知识
赵花花08042的博客
10-30 299
1.项目构建工具 Maven Maven采用pom概念(project object model)来管理项目。 Pom.xml,用于管理源代码,配置文件开发者信息和角色,项目授权,项目的url,项目的依赖关系等。Dependencies和dependency用于定义依赖关系,dependency通过groupid,artifactid及version来定义所依赖的项目。 Swagger 再前后端开发和分析中,为减少和其他团队的沟通成本,会构建restful api文档来描述所有接口信息。 开源软件框架,
JAVA代码审计基础学习
GUN_C的博客
09-16 349
学习
java代码审计基础知识(一)
qq_44029310的博客
06-04 1781
Java代码审计学习记录,本文包括Maven和SpringBoot的基础知识
Java前置知识
m0_56373245的博客
07-11 248
Java前置知识 一、对语言的认识 我真正了解的计算机语言不多,过的也就是一点C和C++。这个暑假想着充实一下自己,就报了校的一个集训,学习的内容主要是JavaWeb。发布的既是我要完成的作业,也是一部分学习成果。 我觉得任何语言的出现都有它的价值,语言只是一种工具,没有什么好坏之分,只看使用的人罢了。你喜欢用哪种语言就用哪种语言,自己觉得顺手合适就行。当然,最好会使用多种语言,只了一两种语言就下定论自己适合哪种,未免有点井底之蛙的视感了。 二、Java简介 既然学习的是Java,我也去搜索了一点它的
java代码审计字典(10种类型-上).pdf
09-27
java代码审计字典(10种类型-上).pdf,有兴趣可以下载看看,不亏
Java代码审计前置知识——MyBatis
m0_61506558的博客
10-23 615
MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以对配置和原生 Map使用简单的XML或注解,将接口和Java的POJO(Plain Old Java Object,普通的Java对象)映射成数据库中的记录(一)简介1.1 什么是Mybatis1.2 持久化1.3 持久层1.4 为什么需要MyBatis(二)搭建Mybatis程序。
Java代码审计前置知识——SSM整合
m0_61506558的博客
10-26 357
代码审计的核心思想是追踪参数,而追踪参数的步骤就是程序执行的步骤。因此,代码审计是一个跟踪程序执行步骤的过程,了解了 SSM 框架的执行流程自然会了解如何如跟踪一个参数,剩下的就是观察在参数传递的过程中有没有一些常见的 漏洞点。
Java代码审计基础知识
buffedon的博客
08-30 624
Java代码审计 基础知识JSP生命周期War包结构JAVA 内置对象JAVA 中的危险函数名词概念 JSP生命周期 关键词:Web服务器,JSP容器,JVM(Java虚拟机),servlet 详细过程: 客户端向Web服务器发起 JSP网页请求 Web服务器将请求发送给JSP容器(中间件) JSP容器中的 JSP引擎 将 HTTP 请求转化为Servlet JSP引擎再将Servlet编译为 可执行的class类,并将原始请求交给Servlet引擎 Web服务器的某组件将会调用servlet引擎,然后载
java代码审计入门--01
划水的小白白
07-13 645
入门知识 总体目标方向 先熟悉一些基本的流程 安装配置对应环境与分析工具 常规漏洞代码审计分析 一些框架漏洞代码审计分析 代码审计流程 配置分析环境 没什么说的,没环境还分析个锤子 熟悉业务流程 功能总体分为多少块,每一块的功能代码是如何实现的 分析程序架构 比如说是MVC,每一层用了哪些第三方的架构,每一层用了哪些第三方的插件 工具自动化分析 先使用工具对代码扫描一遍 人工审计结果(分两种) 验证工具扫描结果,排除误报 时间充裕的情况下,从前端jsp页面
java代码审计(入门级)—基础漏洞合集
最新发布
weixin_49349476的博客
11-16 1089
介绍简单的java代码审计,识别程序中存在的经典漏洞
JAVA代码审计基础入门
xlsj雪松的博客
03-15 1255
1 JavaWeb基础 1.1 JSP是什么 JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。 JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSP。 JSP会被编译成一个java类文件,如index.jsp在Tomcat中Jasper编译后会生成in..
java代码审计入门-图书馆管理系统项目审计
qq_29616295的博客
07-21 586
代码审计入门
java代码审计-java基础-1
Shanfenglan's blog
02-14 865
1. 基础知识 jvm java反射机制复习 利用反射机制,可以调用类中protected属性的方法。 想要创建一个类的对象或者说实例就必须将先将这个class文件加载到jvm中。 Java中class的加载方式分为显式和隐式,显式即我们通常使用Java反射或者ClassLoader来动态加载一个类对象,而隐式指的是类名.方法名()或new类实例。显式类加载方式也可以理解为类动态加载,我们可以自定义类加载器去加载任意的类。 Class.forName("类名")默认会初始化被加载类的静态属性和方法,如果不希
学习springboot前置知识
08-18
学习Spring Boot之前,你可以先了解以下几个前置知识: 1. Java基础知识:Spring Boot是基于Java语言开发的,因此你需要对Java的基本语法、面向对象编程等有一定的了解。 2. Spring框架:Spring Boot是在Spring基础上进行扩展的,所以对于Spring框架的核心概念和特性有一定的了解是必要的。包括IoC(控制反转)和DI(依赖注入)的概念、AOP(面向切面编程)、Spring MVC等。 3. Web开发基础:Spring Boot主要用于构建Web应用程序,此对Web开发的基本概念和技术有所了解是有帮助的。例如HTTP协议、RESTful API设计、前后端交互等。 4. 数据库知识:Spring Boot通常与数据库进行交互,所以对关系型数据库(如MySQL、Oracle等)和非关系型数据库(如MongoDB、Redis等)的基本操作和原理有所了解是必要的。 5. Maven或Gradle:Spring Boot使用Maven或Gradle作为项目构建工具,因此对于这两个工具的基本使用方法和配置方式有所了解是有帮助的。 以上是学习Spring Boot前的一些基础知识,希望对你有帮助。如果你有其他问题,可以继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值