《深入理解Java代码审计》

本项目是记录自己在学习Java代码审计过程中遇到的优秀内容，包括Java代码审计技巧以及优秀的Java代码审计案例。一个不会Java代码审计的师傅不是一个好黑客，一个不会Java代码审计的黑客不是一个好师傅！深入理解Java代码审计，手握众多重点Java应用高危0day！作者：0e0w

本项目创建于2021年7月8日，最近的一次更新时间为2021年11月13日。本项目会持续更新，直到海枯石烂。

• 01-Java代码审计资源
• 02-Java代码审计工具
• 03-Java漏洞靶场平台
• 04-Java安全Web漏洞
• 05-Java代码审计实战
• 06-Java安全编码规范
• 08-Java代码审计老师

01-Java代码审计资源

一、书籍教程

• 《Java代码审计 入门篇》@陈俊杰等
• 《Java代码审计实战》@高昌盛等
• 《Java Web安全-代码审计》@凌天实验室
• 《Java安全漫谈笔记相关》@phith0n

二、审计案例

• 《Java代码审计学习笔记》@proudwind
• 《Java漏洞学习笔记》@SummerSec
• 《代码审计入门小项目》@cn-panda
• 《自学Java安全总结》@Maskhe
• 《攻击Java Web应用》@安百科技
• 《Java RCE 回显测试代码》@feihong
• 《Java反序列化技术分享》@Y4er
• 《Java代码审计总结》@huyuanzhi2
• 《代码审计知识点整理-Java》@7hang
• 《Java代码审计案例》@5huai
• 《java安全和java框架漏洞》@Firebasky
• 《Java安全相关的漏洞和技术demo》@threedr3am

三、视频教程

• 《MS08067安全实验室》
• 《Java代码审计系列课程》@Hack_Man

四、培训演讲

五、审计报告

六、其他资源

• 《攻击Java Web应用》@javasec
• 《J2EE 渗透测试与安全开发》@路人甲
• 《静态程序分析入门教程》
• https://github.com/su18/JDBC-Attack

02-Java代码审计工具

工欲善其事必先利其器，此处收集整理Java代码审计的一些优秀工具！期待自己的代码审计工具能够早日发布！

一、Frotify

• https://github.com/wooyunwang/Fortify
• https://github.com/5wimming/gadgetinspector

二、IDEA

• https://github.com/XianYanTechnology/RocB
• https://github.com/momosecurity/momo-code-sec-inspector-java

三、JNDI工具

• https://github.com/su18/JNDI
• https://github.com/welk1n/JNDI-Injection-Exploit
• https://github.com/feihong-cs/JNDIExploit
• https://github.com/welk1n/JNDI-Injection-Exploit

四、反序列化工具

• https://github.com/wh1t3p1g/ysomap
• https://github.com/frohoff/ysoserial
• https://github.com/KpLi0rn/ysoserial
• https://github.com/0range228/Gadgets
• https://github.com/ikkisoft/SerialKiller
• https://github.com/JackOfMostTrades/gadgetinspector

五、其他工具

• https://github.com/HXSecurity/DongTai
• https://github.com/MobSF/mobsfscan
• https://github.com/threedr3am/log-agent
• https://github.com/wh1t3p1g/tabby
• https://github.com/EmYiQing/XVulnFinder
• https://github.com/EmYiQing/CodeInspector
• https://github.com/mtxiaowangzi/CAFJE
• https://github.com/FeeiCN/Cobra
• https://github.com/returntocorp/semgrep

03-Java漏洞靶场平台

• https://github.com/Mysticbinary/WebBug
• https://github.com/dschadow/JavaSecurity
• https://github.com/dschadow/Java-Web-Security
• https://github.com/novysodope/mytestvul
• https://github.com/langligelang/maobugs
• https://github.com/ityouknow/spring-boot-examples
• https://github.com/NanoHttpd/nanohttpd
• https://github.com/TheKingOfDuck/MySQLMonitor
• https://github.com/tangxiaofeng7/SecExample
• https://github.com/JoyChou93/java-sec-code
• https://github.com/Zhangyao-zzyy/JavaVulnerableLab-circle
• https://github.com/oversecured/ovaa
• https://github.com/appsecco/dvja
• https://github.com/jaiswalakshansh/Vuldroid
• https://github.com/safe6Sec/ShiroAndFastJson
• https://github.com/CSPF-Founder/JavaVulnerableLab
• https://github.com/t0thkr1s/allsafe
• https://github.com/bit4woo/Java_deserialize_vuln_lab
• https://github.com/mtxiaowangzi/Java-EE-VulnWeb
• https://github.com/j3ers3/Hello-Java-Sec
• https://github.com/iiiusky/javaweb-codereview
• https://github.com/yhy0/sqlilab-Jsp
• https://github.com/pmiaowu/DeserializationTest

04-Java安全Web漏洞

本部分详细列举常见的Java安全漏洞内容。

• 程序安装问题
• 业务逻辑漏洞
• SQL注入漏洞
• 变量覆盖漏洞
• 任意文件上传漏洞
• 任意文件写入漏洞
• 任意文件删除漏洞
• 任意文件包含漏洞
• 任意命令执行漏洞
• Java反序列化漏洞
• XSS跨站脚本攻击
• XML外部实体攻击
• CSRF跨站请求伪造
• SSRF服务端请求伪造

05-Java代码审计实战

06-Java安全编码规范

• 腾讯-Java安全编码规范
• 绿盟-Java安全编码规范
• 陌陌-Java安全编码规范
• 华为-Java安全编码规范
• 奇安信-Java安全编码规范
• 软通动力-Java-Web安全开发规范

07-Java代码审计老师

本人在学习Java代码审计的过程中遇到了很多优秀的Java代码审计工程师，感谢这些研究者！

• 待更新