回答

收藏

Java代码审计 入门篇 PDF 电子书

电子书 电子书 662 人阅读 | 0 人回复 | 2022-01-17

Java电子书:Java代码审计 入门篇 PDF 电子书 Java吧 java8.com7 \7 A6 \& o: H6 t$ w% O5 c3 U- E
' X0 q& Q; P, n, k+ _
作者:徐焱 陈俊杰 李柯俊 章宇 蔡国宝出版社:人民邮电出版社出版时间:2021年08月 ! _# w& T0 ~6 b6 N  o& s8 e

7 W% C2 L5 u8 s. P编号:189-P9999【Java吧 java8.com】
$ P( D  K4 |3 P: W
9 D8 T1 x, d1 j) M% _/ E: r: h
123.png

8 M3 H+ O. L$ x! a) t! O. j

$ G- M2 ~# @+ l6 C1 _Java电子书目录:
第 1章 初识Java代码审计1
7 [( J1 a3 w7 Q% m& T5 y( [1.1 代码审计的意义 1
" P# }5 y* a' s! M$ e" \1.2 Java代码审计所需的基础能力 3
' Q2 N9 g- t  V  |. \1.3 代码审计的常用思路 4
+ K' L( }3 e/ u5 z) k% Y7 M第 2章 代码审计环境搭建 5
/ b; d& z4 x, b. i* l$ q2.1 JDK的下载与安装 5
: u% u% o; S6 w  J2.1.1 JDK的下载 5
3 c. K8 Q* U1 }, h' u! \2.1.2 JDK的安装 6
, t7 F0 F; V, G  ?% D; E" x: Z2.1.3 添加JDK到系统环境 86 J3 r5 j0 d) `2 h( p" D2 E7 E/ |" ]1 Y
2.2 Docker容器编排 10
4 X# l$ p. |2 K# D: [2.2.1 Docker基本原理及操作 11
4 e+ o3 m, k( `1 n2.2.2 使用Vulhub快速搭建漏洞验证环境 21- @6 U5 T, X7 u# [! T
2.3 远程调试 24
/ P8 t1 d$ s, f7 h. y( l0 ]2.3.1 对Jar包进行远程调试 24: }: K) m# e+ X/ R9 i9 R' g4 E& O
2.3.2 对Weblogic进行远程调试 278 u  O* N+ o" B. L5 Y7 t
2.3.3 对Tomcat进行远程调试 31
9 w% E1 h9 `" i) h  u, d! |' v2.3.4 VMware虚拟机搭建远程调试环境 353 ~0 R# @, d3 R; {$ T. `
2.4 项目构建工具 35
& Y! {9 d  n9 o" z# I2.4.1 Maven基础知识及掌握 36
% ]9 j: t: y: C, F2.4.2 Swagger特点及使用 40* l3 S9 c- F' m
第3章 代码审计辅助工具简介 41
" y) z3 Z3 V/ V4 |; g3.1 代码编辑器 41/ F+ k& p8 t' {* ~% l
3.1.1 Sublime 41+ m* x, F) P6 }- Q
3.1.2 IDEA 42* T% E! t# ^; o/ }' g
3.1.3 Eclipse 431 C1 S; y$ K: p, ?8 [7 g
3.2 测试工具 43+ F1 r2 x  g2 j# B
3.2.1 Burp Suite 43
0 j* x8 G: m4 q% ^7 v3.2.2 SwitchyOmega 46( F* ], ]5 B' b9 Y* [; [2 B
3.2.3 Max HackerBar 47
! U- Q5 G1 R/ _* e# F' D7 v" x3.2.4 Postman 48
' D; n' e: e/ ^4 j1 x# }6 n3.2.5 Postwomen 49* C. m- {1 E! }7 G- \0 k
3.2.6 Tamper Data 49
+ \9 T8 `0 c% K! ?' w2 r3.2.7 Ysoserial 503 i. \2 U4 u  F$ z
3.2.8 Marshalsec 50/ l5 \7 l9 P9 K& V$ o4 O
3.2.9 MySQL监视工具 51
7 X. r0 [# c8 U3.2.10 Beyond Compare 55' I! T1 N+ g, k" v. U  D/ R
3.3 反编译工具 56$ q8 }" S+ m+ w8 B9 |+ \4 C
3.3.1 JD-GUI 56# }7 K7 [8 n7 T8 ^% q! q/ S5 y
3.3.2 FernFlower 56
7 V5 `) R9 U: O3 U3 p3.3.3 CFR 571 {- L2 K/ x5 Q; H+ {2 K- i
3.3.4 IntelliJ IDEA 586 D- W1 M% m' G4 |' [
3.4 Java代码静态扫描工具 58; K$ i( T- o5 k- u: g1 F
3.4.1 Fortify SCA 586 X7 V& A4 l1 A4 `3 P' L/ L
3.4.2 VCG 59: t; ~3 W' c: L$ M' k$ |# u
3.4.3 FindBugs与FindSecBugs插件 60
, l2 {8 P0 r$ j3.4.4 SpotBugs 60* A2 C# d. }. i& p1 y
3.5 公开漏洞查找平台 61
+ J8 v/ Y! i; J3.5.1 CVE 61
" `+ z, {+ ^2 h! C6 W- |3.5.2 NVD 62# s, N3 E2 s8 U" D) [# N
3.5.3 CNVD 63
5 j9 n$ r6 g- J4 |3.5.4 CNNVD 63
: |) g+ t' b* Y: L% M3.6 小结 64
6 W5 f! r( O; ^' e第4章 Java EE基础知识 65
; N7 L9 L6 V. s' G: [4.1 Java EE分层模型 65
3 ?) j0 {) y4 i  X) `4 r4.1.1 Java EE的核心技术 66
" |% I$ c/ F( H3 u! n) @4.1.2 Java EE分层模型 66
( c4 V. d; y+ c0 ]+ e2 O4.2 了解MVC模式与MVC框架 670 m: }6 C# K  a9 p  ?
4.2.1 Java MVC 模式 681 m! N. V" @6 z- H+ z) C( l+ a3 |
4.2.2 Java MVC框架 69' l2 J: z8 ^8 M2 n
4.3 Java Web的核心技术—Servlet 70( U3 `  m+ S$ C
4.3.1 Servlet 的配置 70
( s3 K! t# P$ n0 r+ ]2 a4.3.2 Servlet的访问流程 73
- U4 ?5 F& `  l4.3.3 Servlet的接口方法 73" y& k8 h7 e' C2 p8 X: i; a
4.3.4 Servlet 的生命周期 76
1 I, p" Z: q2 O( |4.4 Java Web过滤器——filter 77
5 ~1 d5 z, q) y# g# {5 ?0 S2 g$ X2 s4.4.1 filter的配置 77
& @5 @3 w* T# @+ F7 Z+ T* B# m" e4.4.2 filter的使用流程及实现方式 79. q. m: T4 u6 Q  B
4.4.3 filter的接口方法 80" W$ M0 N3 w$ L; F3 w
4.4.4 filter 的生命周期 82
0 k, R6 f+ N6 u4 `2 |4.5 Java反射机制 82  W) \& }! ?/ b7 u; n! H3 ?  T
4.5.1 什么是反射 83; }, S/ b) L/ C
4.5.2 反射的用途 83
) N+ W+ K( Q; y; ?! x4.5.3 反射的基本运用 84
2 B2 |- [8 ?4 H2 N  Q7 Y4.5.4 不安全的反射 91* Y+ O  }, i7 I2 P
4.6 ClassLoader类加载机制 929 A! ~0 i" j& ^( L! N
4.6.1 ClassLoader类 92
- E$ L& {! R+ H3 L4.6.2 loadClass()方法的流程 93" @: a% j; p: C* I) J
4.6.3 自定义的类加载器 94
- P/ z1 b* t8 ^" a/ K1 k4.6.4 loadClass()方法与Class.forName的区别 95
1 X  o4 x7 _1 N2 c- I5 C, I4.6.5 URLClassLoader 96: b8 G: O/ H. E6 v% M! Y% b% g
4.7 Java动态代理 97
1 R6 t- ~+ ^" ^  l( @  E6 J4.7.1 静态代理 972 I: D& F6 s/ A9 `; c; X- c+ ~5 d
4.7.2 动态代理 987 e. d7 K4 [$ j, n4 i9 D% X% i0 |
4.7.3 CGLib代理 100/ p; Z5 U0 T; N# Q
4.8 Javassist动态编程 101
" j8 ~2 E' u% Y: ~2 x; H+ p. I7 r4.9 可用于Java Web的安全开发框架 103% R+ m3 t2 ^5 u! g2 i, p  f2 I% A5 ]! g
4.9.1 Spring Security 103, W% D+ ~3 }9 T
4.9.2 Apache Shiro 104' t1 u9 f, R/ \9 H6 ^4 P4 V
4.9.3 OAuth 2.0 105
# O; @9 N9 u& L6 h! Z4.9.4 JWT 107
- g' O2 ?* f5 a$ z# P第5章 “OWASP Top 10 2017”漏洞的代码审计 109/ N' B+ D, R# ~1 `
5.1 注入 110
$ e* m: }7 b: i6 p* O5 L5.1.1 注入漏洞简介 110
4 h; t  w' F- K5.1.2 SQL注入 1106 R6 K5 j7 {8 G# J5 @
5.1.3 命令注入 117
! L* S% n# S, Y8 R5.1.4 代码注入 121+ t6 t2 i0 e) ?7 b5 t6 g. |+ n
5.1.5 表达式注入 1256 n  U1 F6 c5 I  N- y
5.1.6 模板注入 130
* @$ d  ]3 `7 N- z5.1.7 小结 133
. ~$ Z1 ?" _& B. o4 R  c; u: h5.2 失效的身份认证 134
$ \$ c; x  s- y7 T2 M1 _/ b5.2.1 失效的身份认证漏洞简介 134: R0 t# J- ]) X- [5 ?
5.2.2 WebGoat8 JWT Token猜解实验 1340 K5 ?* R7 D+ A( |
5.2.3 小结 1415 O) R# G  f1 |
5.3 敏感信息泄露 142
* n* [' }1 {- Y3 P# g5.3.1 敏感信息泄露简介 142) B# g0 F+ {8 p8 S* p
5.3.2 TurboMail 5.2.0敏感信息泄露 142. [8 E$ v$ v, r1 b
5.3.3 开发组件敏感信息泄露 146
( P/ I6 w/ w1 X- p5.3.4 小结 146
3 @6 p& c$ Z5 }. B% c5.4 XML外部实体注入(XXE) 147
3 w! y- J6 n5 H2 Q5 H9 t5.4.1 XXE漏洞简介 147
( N1 h7 i/ E$ P9 F0 B5.4.2 读取系统文件 1480 p! g, ]0 B3 S$ T
5.4.3 DoS攻击 150
1 l1 s; F& p, U9 T* Z( @5.4.4 Blind XXE 151
* i& [6 S% m$ ]$ {" p, O  U% a5.4.5 修复案例 154: N% E* O7 j1 y2 H
5.4.6 小结 156
9 u- t2 h1 u" R& F5.5 失效的访问控制 157
1 Q' s2 q/ ]9 W* \& ?* `5.5.1 失效的访问控制漏洞简介 157, v7 F5 ?$ a6 K+ z! w, @# M4 f% c6 y, Z
5.5.2 横向越权 157) I4 H( i3 P4 M  e9 R$ u
5.5.3 纵向越权 1646 C  w' o: n2 i1 K: p
5.5.4 小结 168# b- q. _) g" o1 O  G
5.6 安全配置错误 168" i) s) p' J8 Q3 I6 F) X( M/ B
5.6.1 安全配置错误漏洞简介 168
0 a  i/ k8 L7 u8 E7 G, g4 J5.6.2 Tomcat任意文件写入(CVE-2017-12615) 169
, I  ~" ^6 w4 v8 R0 P5.6.3 Tomcat AJP 文件包含漏洞(CVE-2020-1938) 173) I; k+ E3 {. E5 h
5.6.4 Spring Boot远程命令执行 192: T: W/ B) w. ]# D
5.6.5 小结 203) j) W/ ^( ~& N/ g  `
5.7 跨站脚本(XSS) 203
) |% s7 K* ]/ L7 C, e& w5.7.1 跨站脚本漏洞简介 203+ y4 Q* {' I, ]
5.7.2 反射型XSS漏洞 204
* e$ ~& m5 I4 m6 p4 n5.7.3 存储型XSS漏洞 206
1 h& }" c  s. c5.7.4 DOM型XSS漏洞 211* p  t1 ?' k# d* V5 W2 x+ R
5.7.5 修复建议 212
4 ^, O0 p0 H/ g1 C! P5.7.6 小结 212$ G% p3 T& r; l6 B
5.8 不安全的反序列化 212
/ s5 x3 Z/ Q4 R5.8.1 不安全的反序列化漏洞简介 2123 Z& M3 Z* Q9 |6 u& s. W3 t
5.8.2 反序列化基础 213
java吧 www.java8.com
/ a; U9 _0 K; u2 n* m) P! r% ]: X5.8.3 漏洞产生的必要条件 214
. p* A& S' J1 P$ F6 {! r& s
5.8.4 反序列化拓展 2153 b' R& D3 S$ O  E5 k( p
5.8.5 Apache Commons Collections反序列化漏洞 218
6 G0 Q! P5 m( o8 V4 S3 j/ r5.8.6 FastJson反序列化漏洞 225
  E8 t8 f. T' m# P! N; C5 m5.8.7 小结 235
9 i# ]; R% E- d0 j5.9 使用含有已知漏洞的组件 235! B1 z2 Y: N7 }; {8 i
5.9.1 组件漏洞简介 235- _) n9 O! Z+ j& Q
5.9.2 Weblogic中组件的漏洞 2370 z, I# l9 F# J/ s# f7 L
5.9.3 富文本编辑器漏洞 238
* ?3 e  d% r1 a# n4 z5.9.4 小结 241
( D  c" r( ^# i0 o) m0 O4 j9 |5.10 不足的日志记录和监控 241
+ ]! \6 Y$ ~3 x5 Y6 Z# R5.10.1 不足的日志记录和监控漏洞简介 241
: h+ \; S5 Z$ z$ g" A  [. y5.10.2 CRLF注入漏洞 242$ n% k$ ?& R1 e& {8 O. ^
5.10.3 未记录可审计性事件 243" K/ A, F8 F/ Z- R
5.10.4 对日志记录和监控的安全建议 244
5 F  |. V" t2 w& q. u( F, \4 Z$ `/ ~5.10.5 小结 244  P9 J! M6 O0 G- p
第6章 “OWASP Top 10 2017”之外常见漏洞的代码审计 245  l: c% ^. q$ m4 T* S: z$ i- G
6.1 CSRF 245
" C$ y4 f$ `% Z6.1.1 CSRF简介 245% w. n& p! N8 k! o& u; C3 @. z" W) O
6.1.2 实际案例及修复方式 246
% K6 C+ \- w9 Y6 \6.1.3 小结 2496 Y" t0 q7 m( j6 P
6.2 SSRF 249
+ {* ]1 a/ k. {* P7 }( K$ u7 k: v* u6.2.1 SSRF简介 249
+ x. K  A" h* \7 }" W$ y6.2.2 实际案例及修复方式 250
( v: `; ^) I$ j+ X6.2.3 小结 262
! S- V, K6 u& j9 F4 c6.3 URL跳转 263
5 K/ O" w7 Z) v" v" r# Y' w6.3.1 URL跳转漏洞简介 263: c% G# `- r( c$ y7 T/ \
6.3.2 实际案例及修复方式 2640 B% q1 n; q- `
6.3.3 小结 2672 u, l( O9 d7 D" u+ M$ f
6.4 文件操作漏洞 2674 a5 M6 e4 q1 B/ J+ @
6.4.1 文件操作漏洞简介 267
& d6 Z: z3 ^) W8 I5 q% }* p6.4.2 漏洞发现与修复案例 268) r: n0 j1 B* w- r" F0 r5 b
6.4.3 小结 2866 B% i4 u, n2 ?  r& m' ?
6.5 Web后门漏洞 287
0 E2 S6 z2 d$ L% q  E6.5.1 Web后门漏洞简介 287+ a, |8 r. y/ w$ g
6.5.2 Java Web 后门案例讲解 287
$ n8 V: M6 _9 M$ u6.5.3 小结 292
& C, n$ u& [! V* K1 J: U0 v* v6.6 逻辑漏洞 293
* g- o! K) R- `  G. Q! \$ @. ^6.6.1 逻辑漏洞简介 293
2 h- v2 b- I6 n8 s8 s/ I6.6.2 漏洞发现与修复案例 293/ {! N) b- U! b) d. e
6.6.3 小结 299
: {! u+ a( l! k: p6.7 前端配置不当漏洞 300) m5 j# b5 B+ Q5 ]# x5 ?
6.7.1 前端配置不当漏洞简介 300: p1 G3 \9 F, O1 I
6.7.2 漏洞发现与修复案例 300
7 v( M$ @- I. f* U  g+ L/ k+ q6.7.3 小结 305) S/ q# a5 H' X2 m& r
6.8 拒绝服务攻击漏洞 305
7 p: L, M/ m1 V8 R7 K3 e3 h5 B6.8.1 拒绝服务攻击漏洞简介 3050 u; A: ]1 A  C* M- y
6.8.2 漏洞发现与修复案例 306: z' w! M: y4 Q4 e
6.8.3 小结 322
! J! {4 L8 a  A( c  U6.9 点击劫持漏洞 3230 y* F# L3 o/ ?8 X' }
6.9.1 点击劫持漏洞简介 323
) i% i7 f5 I' L1 s) R# b  G: P) [& _6.9.2 漏洞发现与修复案例 324' G$ R- A& p, f. b
6.9.3 小结 327
, t! g0 m' {+ a. P; m$ C6 _' A$ n6.10 HTTP参数污染漏洞 327
& i, {* o9 S! ?- l8 x% |! |6.10.1 HTTP参数污染漏洞简介 327
0 s5 S9 p7 b3 t0 @/ w; i7 I" O3 Q6.10.2 漏洞发现与修复案例 328" @/ u1 Y4 S5 ?) n, ^/ d7 [) V' ^
6.10.3 小结 330
) F8 @9 A! m, w) F" D% U1 ^/ h第7章 Java EE开发框架安全审计 3311 {$ o* @) y& a+ g* z
7.1 开发框架审计技巧简介 331
  z7 g% h% W) n! m9 e, K7.1.1 SSM框架审计技巧 331
8 f: M- a& K# P$ {7.1.2 SSH框架审计技巧 360# ~* s! i1 p7 D# W- ~3 D
7.1.3 Spring Boot框架审计技巧 373
5 P  K9 s, f7 m, ]. V7.2 开发框架使用不当范例(Struts2 远程代码执行) 377
% ~9 s! I6 h& d7 A7.2.1 OGNL简介 377
# s9 h2 m! n6 n* ]' g% v7 q) G+ t! J7.2.2 S2-001漏洞原理分析 379
( o) n& Q) I) L0 d2 X7 k第8章 Jspxcms代码审计实战 390+ V; t2 S8 x+ j; X' k1 |+ o
8.1 Jspxcms简介 390
* G2 ^) X) k! p# `8.2 Jspxcms的安装 3912 i1 X, L0 w( c$ ]' G6 G
8.2.1 Jspxcms的安装环境需求 391  Z7 x1 D# u8 K+ q8 F% n2 A
8.2.2 Jspxcms的安装步骤 391- @1 e0 x- E  m+ b3 J' H. D2 s
8.3 目录结构及功能说明 399
. w4 M: g, S% v( d8.3.1 目录结构 399
# K  |9 s. G: G- N) H3 `8.3.2 功能说明 402. c" U/ Q. h: L3 _5 R3 r* L
8.4 第三方组件漏洞审计 406
0 `: B* D1 O$ J+ x8.5 单点漏洞审计 408
, ]1 |! T- u  {. s: {8.5.1 SQL审计 408
1 I  B* @; K- g8 f# H) S: w" U8.5.2 XSS 审计 411$ Q4 X1 Z0 \2 Y0 X* O, e4 k# y. R
8.5.3 SSRF审计 418% E# ]  D) v! g  z
8.5.4 RCE审计 4312 k0 u, R/ e# K. }" M  f
8.6 本章总结 440
% L$ p+ k& W4 g' ]) F第9章 小话IAST与RASP 4418 H4 ]# H4 r4 `! `
9.1 IAST简介 441
9 g& U4 W4 A9 t0 u8 h" l9 l1 x! v7 P9.2 RASP简介 443- [! l/ ?$ U4 Z
9.3 单机版OpenRASP Agent实验探究 444
) K1 W& X" X4 B. z5 i. S& C9.3.1 实验环境 444& h* H; `1 ^* u; @( X5 l0 P: l
9.3.2 实验过程 444
5 G! M# H9 _8 G7 j2 R4 ~9.4 OpenRASP Java Agent原理浅析 448
; ~# A9 f0 X9 _+ ?" Z3 @1 j8 W1 h9.5 本章总结 452
; Y  M; U4 S* H/ ]6 X附录 Java安全编码规范索引 453
$ [- f4 E! P1 Q2 M! I
百度云盘下载地址:9 C* h: I0 F' z& o1 x
版权归出版社和原作者所有,链接已删除,请购买正版 购买地址:http://product.dangdang.com/29273747.html7 T: V$ n/ _; E6 f& V

6 v! a5 u& }2 l
& f/ X( y) c; o8 \& V3 Z; r
' z! H$ R4 ?! O- D2 q0 n) G
# X. `. {6 x; S2 |& w. D* z) j
关注下面的标签,发现更多相似文章
分享到:
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1441 积分
111 主题
热门推荐