类似推荐
编辑推荐
Java代码审计初学者指南,系统介绍Java代码安全审计入门技术。
内容简介
本书介绍了Java代码审计的流程、 Java Web漏洞产生的原理以及实战讲解。同时结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的Java代码安全审计技巧。
作者简介
作者徐焱,北京交通大学长三角研究院安全研究员。2002年接触网络安全,主要研究方向是内网渗透和APT攻击,有丰富的网络安全渗透经验。已出版图书《网络攻防实战研究:漏洞利用与提权》,曾在《黑客防线》《黑客X档案》《黑客手册》、FreeBuf、360安全客、阿里云盾先知、嘶吼等杂志和媒体上发表过多篇技术文章。
章节目录
版权信息
内容提要
本书对Java代码研发人员的意义
推荐序1
推荐序2
推荐序3
推荐序4
推荐序5
作者简介
前言
本书特点
本书结构
关于下一本书
特别声明
读者服务
致谢
资源与支持
第1章 初识Java代码审计
1.1 代码审计的意义
1.2 Java代码审计所需的基础能力
1.3 代码审计的常用思路
第2章 代码审计环境搭建
2.1 JDK的下载与安装
2.2 Docker容器编排
2.3 远程调试
2.4 项目构建工具
第3章 代码审计辅助工具简介
3.1 代码编辑器
3.2 测试工具
3.3 反编译工具
3.4 Java代码静态扫描工具
3.5 公开漏洞查找平台
3.6 小结
第4章 Java EE基础知识
4.1 Java EE分层模型
4.2 了解MVC模式与MVC框架
4.3 Java Web的核心技术
4.4 Java Web过滤器
4.5 Java反射机制
4.6 ClassLoader类加载机制
4.7 Java动态代理
4.8 Javassist动态编程
4.9 可用于Java Web的安全开发框架
第5章 “OWASP Top 10 2017”漏洞的代码审计
5.1 注入
5.2 失效的身份认证
5.3 敏感信息泄露
5.4 XML外部实体注入(XXE)
5.5 失效的访问控制
5.6 安全配置错误
5.7 跨站脚本(XSS)
5.8 不安全的反序列化
5.9 使用含有已知漏洞的组件
5.10 不足的日志记录和监控
第6章 “OWASP Top 10 2017”之外常见漏洞的代码审计
6.1 CSRF
6.2 SSRF
6.3 URL跳转
6.4 文件操作漏洞
6.5 Web后门漏洞
6.6 逻辑漏洞
6.7 前端配置不当漏洞
6.8 拒绝服务攻击漏洞
6.9 点击劫持漏洞
6.10 HTTP参数污染漏洞
第7章 Java EE开发框架安全审计
7.1 开发框架审计技巧简介
7.2 开发框架使用不当范例(Struts2远程代码执行)
第8章 Jspxcms代码审计实战
8.1 Jspxcms简介
8.2 Jspxcms的安装
8.3 目录结构及功能说明
8.4 第三方组件漏洞审计
8.5 单点漏洞审计
8.6 本章总结
第9章 小话IAST与RASP
9.1 IAST简介
9.2 RASP简介
9.3 单机版OpenRASP Agent实验探究
9.4 OpenRASP Java Agent原理浅析
9.5 本章总结
附录 Java安全编码规范索引
Java代码审计(入门篇)是2021年由人民邮电出版社出版,作者徐焱。
得书感谢您对《Java代码审计(入门篇)》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
