JAVA代码审计 - 程序员宅基地

Java代码审计入门篇

本期斗哥带来Java代码审计的一些环境和工具准备。 Java这个语言相对于PHP来说还是比较复杂的，所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难，本文记录斗哥在开始去审计Java代码的一些准备...

Java Web 工程源代码安全审计实战的第 1 部分.pdf

本文是JavaWeb工程源代码安全审计实战，基于WebGoat工程，讲解四种高危漏洞：文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。

第37篇：fortify代码审计工具的使用技巧(1)-审计java代码过程

Fortify全名叫Fortify SCA，是惠普公司HP的出品的一款源代码安全测试工具，这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM...

java代码审计：路径遍历

漏洞描述路径遍历是指应用程序接收了未经合理校验的输入参数用于进行与文件读取、写入、查看相关操作。...缺陷代码: @GET @Path("/images/{image}") @Produces("images/*") public Response getImage(@javax.

【安全工具】浅谈编写Java代码审计工具

标签： java golang 网络安全

于是尝试自行实现Java词法分析和语法分析，稍作尝试后发现这不现实，一方面涉及到编译原理的一些算法，另外相比C语言等，Java语言本身较复杂，不是短时间能搞定的，深入研究编译原理背离了做审计工具的目的 ...

Java Web 工程源代码安全审计实战的第 4 部分.pdf

标签：代码审计安全技术 java

本文是JavaWeb工程源代码安全审计实战，基于WebGoat工程，讲解四种高危漏洞：文件路径操纵、系统日志欺骗、线程安全和资源未释放问题。

JAVA代码审计SAST工具使用与漏洞特征

标签： SATS 代码审计

本文来学习、总结下业界常见的 Java 语言代码审计工具的使用，同时通过检验工具的漏洞扫描结果学习下常见漏洞的代码特征，毕竟只有多看看漏洞所在的缺陷代码，才能避免实战中与漏洞“碰面”了却“互不相识”。

Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable

标签： java 安全开发语言

0x00 前言反序列化总纲除了Exception之外，还可以用通过AutoCloseable的方式来进行绕过 0x01 环境搭建 demo： public class Test1 implements AutoCloseable{ public Test1(String cmd){ try { ...

Java敏捷开发（王伟杰译）

标签： Java

用于Java的开发，很实用的，希望可以帮助你们，给好评

JAVAWEB代码审计技巧方法

标签： java 网络安全

JAVA代码审计技巧方法在JAVA WEB代码审计中，首先要做的就是确定项目的依赖库组织形式，其次就是确定项目所使用的框架。 1.依赖库组织形式确定。组织形式一般有两类，maven与lib文件夹的依赖形式。maven组织形式...

java代码审计ssrf危险函数_Java Web代码审计流程与漏洞函数

视图层Controller层：表现层Service层：业务层Dom层：持久层常见组合Spring+Struts2+HibernateSpring+SpringMVC+MybatisSpring Boot+Mybatis代码审计方法根据业务功能审计优点：明确程序的架构以及业务逻辑，明确...

【代码审计】—JAVA项目注入、上传、插件挖掘

标签： java 代码审计

【代码审计】—JAVA项目注入、上传、插件挖掘

『Java安全』tabby代码审计工具Windows环境搭建

标签： java安全 web安全反序列化

tabby是wh1t3p1g师傅编写的针对Java语言的静态代码分析工具 Windows环境搭建 Neo4j环境见wh1t3p1g师傅的环境配置教程 tabby/wiki/Neo4j环境配置 tabby分析并保存数据 RELEASE版本的jar包是wh1t3p1g师傅在mac环境...

JAVA代码审计下载

JAVA代码审计，JAVA代码审计图示JAVA代码审计图示JAVA代码审计图示JAVA代码审计图示JAVA代码审计图示相关下载链接：//download.csdn.net/download/godule/10506311?utm_source=bbsseo

JavaWeb代码审计实战之迷你天猫商城系统详细分析版，实战应用级系统的Log4j2shell代码审计

标签： web安全安全网络安全

JavaWeb代码审计实战之迷你天猫商城系统详细分析版，实战应用级系统的Log4j2shell代码审计

Java中SQL注入审计及修复

标签： java代码审计 java 代码审计

java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全提升代码安全能力代码不被黑客黑-https://edu.csdn.net/course/detail/32634 sql注入漏洞原理：在常见的web...

【JAVA代码审计】——1、Spring框架知识篇

本期Java代码审计Spring框架知识篇将讲述Spring构造POC要必备的知识。 0X01 传统Java代码命令执行 1.知识说明由于业务需求，程序有可能要执行系统命令的功能，但如果执行的命令用户可控，业务上有没有做好限制，...

java代码审计之文件夹详解

.idea文件夹的作用每个Project项目都对应1个 .idea文件夹（隐藏目录），该项目所有特定设置都存储在该.idea文件夹下，比如项目模块信息、依赖信息等等。一般来讲它里面会有这些文件/目录： workspace.xml：这个...

【JAVA代码审计】————3、SQL注入

想当初入门代码审计的时候真是非常难，网上几乎找不到什么java审计的资料，摸索了很长时间，搜到的也仅仅讲了点原理，为了给想学java代码审计的朋友门一点入门资料，就开始写《java代码审计连载》系列文章，本文章...

代码审计入门之java-sec-code

标签：系统安全 web安全安全架构

对于学习JAVA代码审计的同学来说，java-sec-code是一个不可多得的学习靶场，根据作者的介绍每个漏洞类型代码默认存在安全漏洞（除非本身不存在漏洞），相关修复代码在注释里，具体可查看每个漏洞代码和注释。...

Java代码审计：Java反序列化入门之URLDNS链

有点闭门造车，搜索引擎学习法，但是还是记录一下，也分享一下，也便于将来的总结和反思，如果我能终能学到什么，我也会重新梳理思路，为那些自学者提供一个好的思路，所以有了下面的系列文章java代码审计自学篇。...

Java代码审计手册(English)

标签： java 常见漏洞漏洞列表

Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET....