本项目是记录自己在学习Java代码审计过程中遇到的优秀内容,包括Java代码审计技巧以及优秀的Java代码审计案例。一个不会Java代码审计的师傅不是一个好黑客,一个不会Java代码审计的黑客不是一个好师傅!深入理解Java代码审计,手握众多重点Java应用高危0day!作者:0e0w
本项目创建于2021年7月8日,最近的一次更新时间为2021年11月10日。本项目会持续更新,直到海枯石烂。
- 0x01-Java代码审计资源
- 0x02-Java漏洞靶场平台
- 0x03-Java代码审计工具
- 0x04-Java代码审计案例
- 0x05-Java安全Web漏洞
- 0x06-Java安全编码规范
- 0x07-Java代码审计培训
- 0x08-Java代码审计老师
一、书籍资源
- 《Java代码审计 入门篇》@陈俊杰等
- 《Java代码审计实战》@高昌盛等
二、视频教程
三、其他资源
- https://github.com/Mysticbinary/WebBug
- https://github.com/dschadow/JavaSecurity
- https://github.com/dschadow/Java-Web-Security
- https://github.com/novysodope/mytestvul
- https://github.com/langligelang/maobugs
- https://github.com/ityouknow/spring-boot-examples
- https://github.com/kevinsawicki/http-request
- https://github.com/NanoHttpd/nanohttpd
- https://github.com/TheKingOfDuck/MySQLMonitor
- https://github.com/tangxiaofeng7/SecExample
- https://github.com/JoyChou93/java-sec-code
- https://github.com/Zhangyao-zzyy/JavaVulnerableLab-circle
- https://github.com/oversecured/ovaa
- https://github.com/appsecco/dvja
- https://github.com/jaiswalakshansh/Vuldroid
- https://github.com/safe6Sec/ShiroAndFastJson
- https://github.com/CSPF-Founder/JavaVulnerableLab
- https://github.com/t0thkr1s/allsafe
- https://github.com/bit4woo/Java_deserialize_vuln_lab
一、Frotify
二、IDEA
三、其他
- https://github.com/MobSF/mobsfscan
- https://github.com/threedr3am/log-agent
- https://github.com/wh1t3p1g/tabby
- https://github.com/KpLi0rn/ysoserial
- https://github.com/EmYiQing/XVulnFinder
- https://github.com/EmYiQing/CodeInspector
- https://github.com/j3ers3/Hello-Java-Sec
- https://github.com/proudwind/javasec_study
- https://github.com/threedr3am/learnjavabug
- https://github.com/SummerSec/JavaLearnVulnerability
- https://github.com/cn-panda/JavaCodeAudit
- https://github.com/Maskhe/javasec
- https://github.com/phith0n/JavaThings
- https://github.com/anbai-inc/javaweb-sec
- https://github.com/feihong-cs/Java-Rce-Echo
- https://github.com/Y4er/WebLogic-Shiro-shell
- https://github.com/feihong-cs/Java-Rce-Echo
- https://github.com/feihong-cs/JNDIExploit
- https://github.com/welk1n/JNDI-Injection-Exploit
- https://github.com/March110/javaweb-sec
- https://github.com/wh1t3p1g/ysomap
- https://github.com/returntocorp/semgrep
- https://github.com/mtxiaowangzi/CAFJE
- https://github.com/MobSF/mobsfscan
- https://github.com/huyuanzhi2/CodeReview
- https://github.com/su18/JDBC-Attack
本部分详细列举常见的Java安全漏洞内容。
- 程序安装问题
- 业务逻辑漏洞
- SQL注入漏洞
- 变量覆盖漏洞
- 任意文件上传漏洞
- 任意文件写入漏洞
- 任意文件删除漏洞
- 任意文件包含漏洞
- 任意命令执行漏洞
- Java反序列化漏洞
- XSS跨站脚本攻击
- XML外部实体攻击
- CSRF跨站请求伪造
- SSRF服务端请求伪造
- 腾讯集团-Java安全编码规范
- 奇安信集团-Java安全编码规范
- 陌陌集团-Java安全编码规范
本人在学习Java代码审计的过程中遇到了很多优秀的Java代码审计工程师,感谢这些研究者!
- 待更新