Java代码审计文章_java sec study

---

0x01 Java代码审计入门

  代码审计是相对高效的漏洞挖掘方法，哪怕逐渐产生xcheck等使用污点分析的自动化审计软件，也仍然需要具有审计功底的工程师人工验证漏洞报告，甚至开发更佳的审计软件。有时觉得代码审计繁琐，但其实黑盒更繁琐且容易失去重心，辛勤的黑盒漏洞挖掘，可能还不如审出一个框架的CVE来的实在，。安全基于代码，更高于代码，代码审计是安全的精髓之一。

  有一个不停内耗的疑惑：究竟是不断地追求成果，还是十年板凳无人问、一朝漏洞世人知？也许我们更应该关注自己。另外安全是项目繁杂的，不断地有项目和事务向我们砸来，我们对某方面技术的研究往往停留在浅尝辄止的层面，在这种情况下沉下心做好一件事，也许就是极好的。

  直觉说，我喜欢代码、喜欢审计。理智说，做下去、不忘初心，未来会给我答案。

  星球之前推荐过三篇文章：

	【Java 代码审计入门-01】审计前的准备
https://www.cnpanda.net/codeaudit/588.html

	【Java 代码审计入门-02】SQL 漏洞原理与实际案例介绍
https://www.cnpanda.net/codeaudit/600.html

	【Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍
https://www.cnpanda.net/codeaudit/605.html
1
2
3
4
5
6
7
8

  知识盒子有JavaWeb的相关课程：
https://zhishihezi.net/b/5d644b6f81cbc9e40460fe7eea3c7925

  Github上面也有相关的项目：https://github.com/proudwind/javasec_study

---

0x02 静态代码审计工具

  《从0开始聊聊自动化静态代码审计工具》，https://paper.seebug.org/1339/