亚洲一区二区制服无码中文,亚洲在线av极品无码,国产成年无码久久久久下载

內(nèi)容簡(jiǎn)介

　　本書(shū)是一部全面且深入的 Java 代碼審計(jì)指南，旨在幫助讀者掌握 Java Web 應(yīng)用中常見(jiàn)安全漏洞的識(shí)別、分析及防御技能。全書(shū)共分 4 篇，從基礎(chǔ)到實(shí)戰(zhàn)，系統(tǒng)地介紹 Java 代碼審計(jì)的各個(gè)方面?；A(chǔ)篇（第 1 章）主要介紹 Java Web 環(huán)境的搭建步驟、常見(jiàn)的動(dòng)態(tài)調(diào)試方法以及代碼審計(jì)工具的基本使用方法，為后續(xù)的深入學(xué)習(xí)打下堅(jiān)實(shí)基礎(chǔ)。入門(mén)篇（第 2 章～第 3 章）首先介紹 Java 代碼審計(jì)中發(fā)現(xiàn)的常見(jiàn)漏洞，然后通過(guò)實(shí)戰(zhàn)演練，以開(kāi)源 Java 漏洞靶場(chǎng) Java-sec-code 為藍(lán)本，運(yùn)用代碼審計(jì)工具 CodeQL 進(jìn)行審計(jì)。高級(jí)篇（第 4 章～第 6 章）分別針對(duì) Java Web 開(kāi)發(fā)中常見(jiàn)的 SSM、SSH 及 Spring Boot + MyBatis 等框架進(jìn)行詳細(xì)介紹，并選取其中典型的框架漏洞進(jìn)行深入剖析和調(diào)試分析。實(shí)戰(zhàn)篇（第 7 章）通過(guò)真實(shí) Java Web 應(yīng)用程序的審計(jì)案例，詳細(xì)展示如何在實(shí)踐中運(yùn)用 CodeQL 等審計(jì)工具快速發(fā)現(xiàn)并解決安全漏洞。本書(shū)是一本集理論與實(shí)踐于一體的 Java 代碼審計(jì)寶典，適合軟件開(kāi)發(fā)工程師、網(wǎng)絡(luò)運(yùn)維人員、滲透測(cè)試工程師、網(wǎng)絡(luò)安全工程師及其他有志于從事網(wǎng)絡(luò)安全工作的人員閱讀學(xué)習(xí)。

作者簡(jiǎn)介

　　王月兵杭州美創(chuàng)科技股份有限公司59號(hào)安全實(shí)驗(yàn)室負(fù)責(zé)人，高級(jí)工程師。長(zhǎng)期致力于網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域的研究，在安全漏洞挖掘和網(wǎng)絡(luò)攻防方面積累了深厚的經(jīng)驗(yàn)，多次受邀擔(dān)任公開(kāi)課講師及各類(lèi)安全會(huì)議的演講嘉賓。迄今為止，已出版《數(shù)據(jù)安全實(shí)踐指南》和《內(nèi)網(wǎng)滲透實(shí)戰(zhàn)攻略》兩部著作，在國(guó)內(nèi)期刊上發(fā)表了4篇學(xué)術(shù)論文，并獲得了10項(xiàng)發(fā)明專(zhuān)利。此外，持有CISSP、CISP、信息系統(tǒng)項(xiàng)目管理師等多項(xiàng)行業(yè)認(rèn)證，被評(píng)定為杭州市高層次人才E類(lèi)。柳遵梁杭州美創(chuàng)科技股份有限公司董事長(zhǎng)兼CEO，高級(jí)工程師，全國(guó)工商聯(lián)網(wǎng)絡(luò)與數(shù)據(jù)安全委員會(huì)委員，中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟常務(wù)理事，中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟理事，浙江省網(wǎng)絡(luò)空間安全協(xié)會(huì)數(shù)據(jù)安全治理專(zhuān)委會(huì)主任兼秘書(shū)長(zhǎng)，被評(píng)定為杭州市高層次人才D類(lèi)。擁有20年的數(shù)據(jù)管理和信息安全從業(yè)經(jīng)驗(yàn)，在通信、社保、醫(yī)療、金融等民生行業(yè)積累了豐富的實(shí)踐經(jīng)驗(yàn)。具備長(zhǎng)遠(yuǎn)的戰(zhàn)略眼光，能夠準(zhǔn)確把握技術(shù)發(fā)展趨勢(shì)，持續(xù)推動(dòng)公司創(chuàng)新。帶領(lǐng)公司完成了運(yùn)維、服務(wù)、產(chǎn)品的多次轉(zhuǎn)型，成為國(guó)內(nèi)數(shù)據(jù)安全管理領(lǐng)域的領(lǐng)先綜合供應(yīng)商。著有《內(nèi)網(wǎng)滲透實(shí)戰(zhàn)攻略》和《Oracle數(shù)據(jù)庫(kù)性能優(yōu)化方法論和最佳實(shí)踐》等圖書(shū)，并發(fā)表多篇學(xué)術(shù)文章。覃錦端杭州美創(chuàng)科技股份有限公司59號(hào)安全實(shí)驗(yàn)室研究員，中級(jí)信息安全工程師，網(wǎng)絡(luò)與信息安全管理員技師，注冊(cè)信息安全專(zhuān)業(yè)人員（CISP）。主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全攻防、數(shù)據(jù)安全防御，具有較為豐富的網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)經(jīng)驗(yàn)。劉聰杭州美創(chuàng)科技股份有限公司59號(hào)安全實(shí)驗(yàn)室研究員，主要研究領(lǐng)域?yàn)锳TT&CK框架、Web安全和業(yè)務(wù)安全等，獲得CISP資質(zhì)認(rèn)證，擁有豐富的傳統(tǒng)安全服務(wù)經(jīng)驗(yàn)，以及攻防演練紅藍(lán)隊(duì)實(shí)戰(zhàn)項(xiàng)目經(jīng)驗(yàn)。

圖書(shū)目錄

基礎(chǔ)篇
第 1 章 Java 代碼審計(jì)基礎(chǔ) 3
1.1 Java Web 環(huán)境的搭建 3
1.1.1 JDK 的安裝與配置 3
1.1.2 Tomcat 的安裝與配置 8
1.2 Java Web 動(dòng)態(tài)調(diào)試方法 13
1.2.1 本地動(dòng)態(tài)調(diào)試 13
1.2.2 遠(yuǎn)程動(dòng)態(tài)調(diào)試 15
1.3 代碼審計(jì)工具介紹 24
1.3.1 IDEA 24
1.3.2 SpotBugs 28
1.3.3 Fortify 33
1.3.4 CodeQL 36
1.3.5 Semgrep 45
入門(mén)篇
第 2 章 Java 代碼審計(jì)常見(jiàn)漏洞 51
2.1 SQL 注入 51
2.1.1 SQL 注入簡(jiǎn)介 51
2.1.2 常見(jiàn)的 SQL 注入漏洞 52
2.1.3 SQL 注入漏洞代碼審計(jì)要點(diǎn)與防御方法 66
2.2 XSS 漏洞 66
2.2.1 XSS 漏洞簡(jiǎn)介 67
2.2.2 常見(jiàn)的 XSS 漏洞 67
2.2.3 XSS 漏洞代碼審計(jì)要點(diǎn) 70
2.2.4 XSS 漏洞的防御方法 70
2.3 命令執(zhí)行漏洞 71
2.3.1 命令執(zhí)行漏洞簡(jiǎn)介 71
2.3.2 常見(jiàn)的命令執(zhí)行漏洞 71
2.3.3 命令執(zhí)行漏洞代碼審計(jì)要點(diǎn) 82
2.3.4 命令執(zhí)行漏洞的防御方法 82
2.4 XXE 漏洞 83
2.4.1 XXE 漏洞簡(jiǎn)介 83
2.4.2 常見(jiàn)的 XXE 漏洞 83
2.4.3 XXE 漏洞代碼審計(jì)要點(diǎn) 91
2.4.4 XXE 漏洞的防御方法 91
2.5 任意文件上傳漏洞 92
2.5.1 任意文件上傳漏洞簡(jiǎn)介 92
2.5.2 常見(jiàn)的任意文件上傳漏洞 93
2.5.3 任意文件上傳漏洞代碼審計(jì)要點(diǎn) 106
2.5.4 任意文件上傳漏洞的防御方法 107
2.6 SSRF 漏洞 109
2.6.1 SSRF 漏洞簡(jiǎn)介 109
2.6.2 常見(jiàn)的 SSRF 漏洞 110
2.6.3 SSRF 漏洞代碼的審計(jì)要點(diǎn) 115
2.6.4 SSRF 漏洞的防御方法 115
2.7 反序列化漏洞 115
2.7.1 反序列化漏洞簡(jiǎn)介 115
2.7.2 常見(jiàn)的反序列化漏洞 116
2.7.3 反序列化漏洞代碼審計(jì)要點(diǎn) 142
2.7.4 反序列化漏洞防御 142
第 3 章基于 Java-sec-code 的代碼審計(jì) 143
3.1 Java-sec-code 源碼審計(jì)基礎(chǔ) 143
3.1.1 Java-sec-code 項(xiàng)目介紹及搭建 143
3.1.2 Java-sec-code 審計(jì)的CodeQL 配置 145
3.2 Java-sec-code SQL 注入漏洞代碼審計(jì) 147
3.2.1 常規(guī)手工審計(jì) 148
3.2.2 基于 CodeQL 的半自動(dòng)化審計(jì) 153
3.3 Java-sec-code XSS 漏洞代碼審計(jì) 156
3.3.1 常規(guī)手工審計(jì) 156
3.3.2 基于 CodeQL 的半自動(dòng)化審計(jì) 161
3.4 Java-sec-code 命令執(zhí)行漏洞代碼審計(jì) 163
3.4.1 常規(guī)手工審計(jì) 163
3.4.2 基于 CodeQL 的半自動(dòng)化審計(jì) 168
3.5 Java-sec-code XXE 漏洞代碼審計(jì) 171
3.5.1 常規(guī)手工審計(jì) 171
3.5.2 基于 CodeQL 的半自動(dòng)化審計(jì) 181
3.6 Java-sec-code 任意文件上傳漏洞代碼審計(jì) 188
3.6.1 常規(guī)手工審計(jì) 188
3.6.2 基于 CodeQL 的半自動(dòng)化審計(jì) 196
3.7 Java-sec-code SSRF 漏洞代碼審計(jì) 198
3.7.1 常規(guī)手工審計(jì) 198
3.7.2 基于 CodeQL 的半自動(dòng)化審計(jì) 208
3.8 Java-sec-code 反序列化漏洞代碼審計(jì) 214
3.8.1 常規(guī)手工審計(jì) 214
3.8.2 基于 CodeQL 的半自動(dòng)化審計(jì) 242
高級(jí)篇
第 4 章 SSM 框架介紹及漏洞分析 247
4.1 SSM 框架介紹 247
4.2 SSM 框架漏洞分析 262
4.2.1 CVE-2022-22965 Spring Framework 遠(yuǎn)程代碼執(zhí)行漏洞分析 262
4.2.2 CVE-2020-26945 MyBatis 遠(yuǎn)程代碼執(zhí)行漏洞分析 273
4.3 SSM 框架代碼審計(jì)方法總結(jié) 279
第 5 章 SSH 框架介紹及漏洞分析 280
5.1 SSH 框架介紹 280
5.2 SSH 框架漏洞分析 293
5.2.1 Hibernate 框架 HQL 注入漏洞分析 294
5.2.2 Struts2 框架 S2-048 漏洞分析 297
5.2.3 Spring 框架 Messaging 組件遠(yuǎn)程代碼執(zhí)行漏洞分析 306
5.3 SSH 框架代碼審計(jì)方法總結(jié) 316
第 6 章 Spring Boot+MyBatis 框架介紹及漏洞分析 319
6.1 Spring Boot 介紹 319
6.2 Spring Boot 漏洞分析 326
6.2.1 Spring Boot Actuator 未授權(quán)訪(fǎng)問(wèn) 327
6.2.2 CNVD-2016-04742 Spring Boot whitelabel error page SpEL RCE 分析 329
6.2.3 Spring Boot Actuator SnakeYAML RCE 338
6.2.4 CNVD-2019-11630 Spring Boot jolokia logback JNDI RCE 分析 346
6.2.5 Spring Boot restart logging.config groovy RCE 356
6.3 Spring Boot 框架代碼審計(jì)方法總結(jié) 366
6.3.1 Spring Boot SpEL 漏洞審計(jì)方法總結(jié) 366
6.3.2 Spring Boot JNDI 注入漏洞審計(jì)方法總結(jié) 367
6.3.3 Spring Boot groovy 腳本漏洞審計(jì)方法總結(jié) 367
6.3.4 MyBatis SQL 注入漏洞審計(jì)方法總結(jié) 368
實(shí)戰(zhàn)篇
第 7 章代碼審計(jì)實(shí)戰(zhàn) 371
7.1 youkefu 代碼審計(jì) 371
7.1.1 youkefu 介紹及環(huán)境搭建 371
7.1.2 SSRF 漏洞代碼審計(jì) 375
7.1.3 反序列化漏洞代碼審計(jì) 381
7.1.4 XXE 漏洞代碼審計(jì) 385
7.1.5 SQL 注入漏洞代碼審計(jì) 391
7.1.6 任意文件上傳漏洞代碼審計(jì) 396
7.2 JeeWMS 代碼審計(jì) 401
7.2.1 JeeWMS 環(huán)境搭建 402
7.2.2 JeeWMS XXE 漏洞審計(jì) 409
7.2.3 JeeWMS 任意文件下載漏洞審計(jì) 416
7.2.4 JeeWMS 任意文件上傳漏洞審計(jì) 421
7.2.5 JeeWMS SQL 注入漏洞審計(jì) 428