Java代码审计实战

本书是一部全面且深的 Java 代码审计指南，旨在帮助读者掌握 Java Web 应用中常见安全漏洞的识别、分析及防御技能。全书共分 4 篇，从基础到实战，系统地介绍 Java 代码审计的各个方面。 基础篇（第 1 章）主要介绍 Java Web 环境的搭建步骤、常见的动态调试方法以及代码审计工具的基本使用方法，为后续的深学习下坚实基础。 门篇（第 2 章～第 3 章）首先介绍 Java 代码审计中发现的常见漏洞，然后通过实战演练，以源 Java 漏洞靶场 Java-sec-code 为蓝本，运用代码审计工具 CodeQL 行审计。 高级篇（第 4 章～第 6 章）分别针对 Java Web 发中常见的 SSM、SSH 及 Spring Boot + MyBatis 等框架行详细介绍，并选取其中典型的框架漏洞行深剖析和调试分析。 实战篇（第 7 章）通过真实 Java Web 应用程序的审计案例，详细展示如何在实践中运用 CodeQL 等审计工具快速发现并解决安全漏洞。 本书是一本集理论与实践于一体的 Java 代码审计宝典，适合软件发工程师、网络运维人员、渗透测试工程师、网络安全工程师及其他有志于从事网络安全工作的人员阅读学习。
【推荐语】
为发者和网络安全工程师量身造，系统介绍代码审计的方法与实战经验； 深分析常见组件漏洞，详尽讲解CMS实战案例； 通过深浅出的讲解和丰富的案例，读者可以迅速掌握Java代码审计方法，提升自己在实际项目中的安全防护能力。
【作者】
王月兵 杭州美创科技股份有限公司59号安全实验室负责人，高级工程师。长期致力于网络安全和数据安全领域的研究，在安全漏洞挖掘和网络攻防方面积累了深厚的经验，多次受邀担任公课讲师及各类安全会议的演讲嘉宾。迄今为止，已出版《数据安全实践指南》和《内网渗透实战攻略》两部著作，在国内期刊上发表了4篇学术论文，并获得了10项发明专利。此外，持有CISSP、CISP、信息系统项目管理师等多项行业认证，被评定为杭州市高层次人才E类。 柳遵梁 杭州美创科技股份有限公司董事长兼CEO,高级工程师，全国工商联网络与数据安全委员会委员，中国网络安全产业联盟常务理事，中关村网络安全与信息化产业联盟理事，浙江省网络空间安全协会数据安全治理专委会主任兼秘书长，被评定为杭州市高层次人才D类。拥有20年的数据管理和信息安全从业经验，在通信、社保、医疗、金融等民生行业积累了丰富的实践经验。具备长远的战略眼光，能够准确把握技术发展趋势，持续推动公司创新。带领公司完成了运维、服务、产品的多次转型，成为国内数据安全管理领域的领先综合供应商。著有《内网渗透实战攻略》和《Oracle数据库性能优化方法论和最佳实践》等图书，并发表多篇学术文章。 覃锦端 杭州美创科技股份有限公司59号安全实验室研究员，中级信息安全工程师，网络与信息安全管理员技师，注册信息安全专业人员(CISP)。主要研究领域为网络安全攻防、数据安全防御，具有较为丰富的网络安全攻防实战经验。 刘聪 杭州美创科技股份有限公司59号安全实验室研究员，主要研究领域为ATT&CK框架、Web安全和业务安全等，获得CISP资质认证，拥有丰富的传统安全服务经验，以及攻防演练红蓝队实战项目经验。