Java代码审计实战

为开发者和网络安全工程师量身打造，系统介绍代码审计的方法与实战经验；
深入分析常见组件漏洞，详尽讲解CMS实战案例；
通过深入浅出的讲解和丰富的案例，读者可以迅速掌握Java代码审计方法，提升自己在实际项目中的安全防护能力。

本书是一部全面且深入的Java代码审计指南，旨在帮助读者掌握JavaWeb应用中常见安全漏洞的识别、分析及防御技能。全书共分4篇，从基础到实战，系统地介绍Java代码审计的各个方面。

基础篇（第1章）主要介绍JavaWeb环境的搭建步骤、常见的动态调试方法以及代码审计工具的基本使用方法，为后续的深入学习打下坚实基础。

入门篇（第2章～第3章）首先介绍Java代码审计中发现的常见漏洞，然后通过实战演练，以开源Java漏洞靶场Java-sec-code为蓝本，运用代码审计工具CodeQL进行审计。

高级篇（第4章～第6章）分别针对JavaWeb开发中常见的SSM、SSH及SpringBoot+MyBatis等框架进行详细介绍，并选取其中典型的框架漏洞进行深入剖析和调试分析。

实战篇（第7章）通过真实JavaWeb应用程序的审计案例，详细展示如何在实践中运用CodeQL等审计工具快速发现并解决安全漏洞。

本书是一本集理论与实践于一体的Java代码审计宝典，适合软件开发工程师、网络运维人员、渗透测试工程师、网络安全工程师及其他有志于从事网络安全工作的人员阅读学习。

王月兵
杭州美创科技股份有限公司59号安全实验室负责人，高级工程师。长期致力于网络安全和数据安全领域的研究，在安全漏洞挖掘和网络攻防方面积累了深厚的经验，多次受邀担任公开课讲师及各类安全会议的演讲嘉宾。迄今为止，已出版《数据安全实践指南》和《内网渗透实战攻略》两部著作，在国内期刊上发表了4篇学术论文，并获得了10项发明专利。此外，持有CISSP、CISP、信息系统项目管理师等多项行业认证，被评定为杭州市高层次人才E类。
柳遵梁
杭州美创科技股份有限公司董事长兼CEO,高级工程师，全国工商联网络与数据安全委员会委员，中国网络安全产业联盟常务理事，中关村网络安全与信息化产业联盟理事，浙江省网络空间安全协会数据安全治理专委会主任兼秘书长，被评定为杭州市高层次人才D类。拥有20年的数据管理和信息安全从业经验，在通信、社保、医疗、金融等民生行业积累了丰富的实践经验。具备长远的战略眼光，能够准确把握技术发展趋势，持续推动公司创新。带领公司完成了运维、服务、产品的多次转型，成为国内数据安全管理领域的领先综合供应商。著有《内网渗透实战攻略》和《Oracle数据库性能优化方法论和最佳实践》等图书，并发表多篇学术文章。
覃锦端
杭州美创科技股份有限公司59号安全实验室研究员，中级信息安全工程师，网络与信息安全管理员技师，注册信息安全专业人员(CISP)。主要研究领域为网络安全攻防、数据安全防御，具有较为丰富的网络安全攻防实战经验。
刘聪
杭州美创科技股份有限公司59号安全实验室研究员，主要研究领域为ATT&CK框架、Web安全和业务安全等，获得CISP资质认证，拥有丰富的传统安全服务经验，以及攻防演练红蓝队实战项目经验。

基础篇

第1章Java代码审计基础

1.1JavaWeb环境的搭建

1.1.1JDK的安装与配置

1.1.2Tomcat的安装与配置

1.2JavaWeb动态调试方法

1.2.1本地动态调试

1.2.2远程动态调试

1.3代码审计工具介绍

13.1IDEA

1.3.2SpotBugs

1.3.3Fortify

1.3.4CodeQL

1.3.5Semgrep

入门篇

第2章Java代码审计常见漏洞

2.1SQL注入

2.1.1SQL注入简介

……