同類熱銷排行榜

Java代碼審計實戰

作者：王月兵//柳遵梁//覃錦端//劉聰|責編:楊?國
出版社：人民郵電
ISBN：9787115658692

出版日期：2025/05/01
裝幀：平裝
頁數：434

人民幣：RMB 119.8 元售價：元

內容大鋼

    本書是一部全面且深入的Java代碼審計指南，旨在幫助讀者掌握Java Web應用中常見安全漏洞的識別、分析及防禦技能。全書共分4篇，從基礎到實戰，系統地介紹Java代碼審計的各個方面。
    基礎篇（第1章）主要介紹Java Web環境的搭建步驟、常見的動態調試方法以及代碼審計工具的基本使用方法，為後續的深入學習打下堅實基礎。
    入門篇（第2章?第3章）首先介紹Java代碼審計中發現的常見漏洞，然後通過實戰演練，以開源Java漏洞靶場Java-sec-code為藍本，運用代碼審計工具CodeQL進行審計。
    高級篇（第4章?第6章）分別針對Java Web開發中常見的SSM、SSH及Spring Boot+MyBatis等框架進行詳細介紹，並選取其中典型的框架漏洞進行深入剖析和調試分析。
    實戰篇（第7章）通過真實Java Web應用程序的審計案例，詳細展示如何在實踐中運用CodeQL等審計工具快速發現並解決安全漏洞。
    本書是一本集理論與實踐于一體的Java代碼審計寶典，適合軟體開發工程師、網路運維人員、滲透測試工程師、網路安全工程師及其他有志於從事網路安全工作的人員閱讀學習。

作者介紹

王月兵//柳遵梁//覃錦端//劉聰|責編:楊?國

基礎篇
  第1章  Java代碼審計基礎
    1.1  Java Web環境的搭建
      1.1.1  JDK的安裝與配置
      1.1.2  Tomcat的安裝與配置
    1.2  Java Web動態調試方法
      1.2.1  本地動態調試
      1.2.2  遠程動態調試
    1.3  代碼審計工具介紹
      1.3.1  IDEA
      1.3.2  SpotBugs
      1.3.3  Fortify
      1.3.4  CodeQL
      1.3.5  Semgrep
入門篇
  第2章  Java代碼審計常見漏洞
    2.1  SQL注入
      2.1.1  SQL注入簡介
      2.1.2  常見的SQL注入漏洞
      2.1.3  SQL注入漏洞代碼審計要點與防禦方法
    2.2  XSS漏洞
      2.2.1  XSS漏洞簡介
      2.2.2  常見的XSS漏洞
      2.2.3  XSS漏洞代碼審計要點
      2.2.4  XSS漏洞的防禦方法
    2.3  命令執行漏洞
      2.3.1  命令執行漏洞簡介
      2.3.2  常見的命令執行漏洞
      2.3.3  命令執行漏洞代碼審計要點
      2.3.4  命令執行漏洞的防禦方法
    2.4  XXE漏洞
      2.4.1  XXE漏洞簡介
      2.4.2  常見的XXE漏洞
      2.4.3  XXE漏洞代碼審計要點
      2.4.4  XXE漏洞的防禦方法
    2.5  任意文件上傳漏洞
      2.5.1  任意文件上傳漏洞簡介
      2.5.2  常見的任意文件上傳漏洞
      2.5.3  任意文件上傳漏洞代碼審計要點
      2.5.4  任意文件上傳漏洞的防禦方法
    2.6  SSRF漏洞
      2.6.1  SSRF漏洞簡介
      2.6.2  常見的SSRF漏洞
      2.6.3  SSRF漏洞代碼的審計要點
      2.6.4  SSRF漏洞的防禦方法
    2.7  反序列化漏洞
      2.7.1  反序列化漏洞簡介
      2.7.2  常見的反序列化漏洞
      2.7.3  反序列化漏洞代碼審計要點
      2.7.4  反序列化漏洞防禦

  第3章  基於Java-sec-code的代碼審計
    3.1  Java-sec-code源碼審計基礎
      3.1.1  Java-sec-code項目介紹及搭建
      3.1.2  Java-sec-code審計的CodeQL配置
    3.2  Java-sec-code SQL注入漏洞代碼審計
      3.2.1  常規手工審計
      3.2.2  基於CodeQL的半自動化審計
    3.3  Java-sec-code XSS漏洞代碼審計
      3.3.1  常規手工審計
      3.3.2  基於CodeQL的半自動化審計
    3.4  Java-sec-code命令執行漏洞代碼審計
      3.4.1  常規手工審計
      3.4.2  基於CodeQL的半自動化審計
    3.5  Java-sec-code XXE漏洞代碼審計
      3.5.1  常規手工審計
      3.5.2  基於CodeQL的半自動化審計
    3.6  Java-sec-code任意文件上傳漏洞代碼審計
      3.6.1  常規手工審計
      3.6.2  基於CodeQL的半自動化審計
    3.7  Java-sec-code SSRF漏洞代碼審計
      3.7.1  常規手工審計
      3.7.2  基於CodeQL的半自動化審計
    3.8  Java-sec-code反序列化漏洞代碼審計
      3.8.1  常規手工審計
      3.8.2  基於CodeQL的半自動化審計
高級篇
  第4章  SSM框架介紹及漏洞分析
    4.1  SSM框架介紹
    4.2  SSM框架漏洞分析
      4.2.1  CVE-2022-22965 Spring Framework遠程代碼執行漏洞分析
      4.2.2  CVE-2020-26945 MyBatis遠程代碼執行漏洞分析
    4.3  SSM框架代碼審計方法總結
  第5章  SSH框架介紹及漏洞分析
    5.1  SSH框架介紹
    5.2  SSH框架漏洞分析
      5.2.1  Hibernate框架HQL注入漏洞分析
      5.2.2  Struts2框架S2-048漏洞分析
      5.2.3  Spring框架Messaging組件遠程代碼執行漏洞分析
    5.3  SSH框架代碼審計方法總結
  第6章  Spring Boot+MyBatis框架介紹及漏洞分析
    6.1  Spring Boot介紹
    6.2  Spring Boot漏洞分析
      6.2.1  Spring Boot Actuator未授權訪問
      6.2.2  CNVD-2016-04742 Spring Boot whitelabel error page SpEL RCE分析
      6.2.3  Spring Boot Actuator SnakeYAML RCE
      6.2.4  CNVD-2019-11630 Spring Boot jolokia logback JNDI RCE分析
      6.2.5  Spring Boot restart logging.config groovy RCE
    6.3  Spring Boot框架代碼審計方法總結
      6.3.1  Spring Boot SpEL漏洞審計方法總結
      6.3.2  Spring Boot JNDI注入漏洞審計方法總結

      6.3.3  Spring Boot groovy腳本漏洞審計方法總結
      6.3.4  MyBatis SQL注入漏洞審計方法總結
實戰篇
  第7章  代碼審計實戰
    7.1  youkefu代碼審計
      7.1.1  youkefu介紹及環境搭建
      7.1.2  SSRF漏洞代碼審計
      7.1.3  反序列化漏洞代碼審計
      7.1.4  XXE漏洞代碼審計
      7.1.5  SQL注入漏洞代碼審計
      7.1.6  任意文件上傳漏洞代碼審計
    7.2  JeeWMS代碼審計
      7.2.1  JeeWMS環境搭建
      7.2.2  JeeWMS XXE漏洞審計
      7.2.3  JeeWMS任意文件下載漏洞審計
      7.2.4  JeeWMS任意文件上傳漏洞審計
      7.2.5  JeeWMS SQL注入漏洞審計

Δ訂單支付
付款方式
運費計算方式

Δ關於我們
關於美商天龍
聯絡我們

首頁│ 新手上路│ 客服中心│ 關於我們│ 聯絡我們│ Top↑│
Copyrightc 1999~2008 美商天龍國際圖書股份有限公司臺灣分公司. All rights reserved.
營業地址:臺北市中正區重慶南路一段103號1F 105號1F-2F
讀者服務部電話：02-2381-2033 02-2381-1863　時間：週一-週五 10:00-17:00
　服務信箱：bookuu@69book.com 客戶、意見信箱:cs@69book.com
ICP證：浙B2-20060032

同類熱銷排行榜

最近瀏覽的商品

Java代碼審計實戰