《网络安全Java代码审计实战》读书笔记模板.pptxVIP

网络安全Java代码审计实战读书笔记模板 01思维导图目录分析精彩摘录内容摘要读书笔记作者介绍目录0305020406 思维导图 代码实战代码漏洞审计环境人才漏洞审计第章文件代码目录环境模板案例框架动态调试关键字分析思维导图 内容摘要 内容摘要本书是奇安信认证络安全工程师培训教材之一，目的是为络安全行业培养合格的人才。络安全人才的培养是一项艰巨的任务，其中代码审计人才更是“稀缺资源”。本书分为4章。第1章代码审计基础，内容包括基础Java开发环境搭建、代码审计环境搭建。第2章常见漏洞审计，介绍了多种常见漏洞的成因以及审计和修复的技巧。第3章常见的框架漏洞，介绍了Java开发中经常使用的一些框架的典型漏洞，如Spring、Struts2等的命令执行漏洞。第4章代码审计实战，通过对真实环境下的Java应用程序进行审计，向读者详细介绍了Java代码审计的技巧与方法。 目录分析 1.2 Java Web动态调试1.1 Java Web环境搭建第1章代码审计基础 1.1 Java Web环境搭建1.1.1 Java EE介绍1.1.2 Java EE环境搭建 1.2 Java Web动态调试1.2.1 Eclipse动态调试1.2.2 IDEA动态调试程序 2.1 SQL注入漏洞2.2任意文件上传漏洞2.3 XSS漏洞2.4目录穿越漏洞第2章常见漏洞审计 2.5 URL跳转漏洞2.6命令执行漏洞2.7 XXE漏洞2.8 SSRF漏洞第2章常见漏洞审计 2.9 SpEL表达式注入漏洞2.10 Java反序列化漏洞2.11 SSTI模板注入漏洞2.12整数溢出漏洞2.13硬编码密码漏洞2.14不安全的随机数生成器010302040506第2章常见漏洞审计 2.1 SQL注入漏洞2.1.1 SQL注入漏洞简介2.1.2执行SQL语句的几种方式2.1.3常见Java SQL注入2.1.4常规注入代码审计2.1.5二次注入代码审计2.1.6 SQL注入漏洞修复 2.2任意文件上传漏洞2.2.1常见文件上传方式2.2.2文件上传漏洞审计2.2.3文件上传漏洞修复 2.3 XSS漏洞2.3.1 XSS常见触发位置2.3.2反射型XSS2.3.3存储型XSS2.3.4 XSS漏洞修复 2.4目录穿越漏洞2.4.1目录穿越漏洞简介2.4.2目录穿越漏洞审计2.4.3目录穿越漏洞修复 2.5 URL跳转漏洞2.5.1 URL重定向2.5.2 URL跳转漏洞审计2.5.3 URL跳转漏洞修复 2.6命令执行漏洞2.6.1命令执行漏洞简介2.6.2 ProcessBuilder命令执行漏洞2.6.3 Runtime exec命令执行漏洞2.6.4命令执行漏洞修复 2.7 XXE漏洞2.7.1 XML的常见接口2.7.2 XXE漏洞审计2.7.3 XXE漏洞修复 2.8 SSRF漏洞2.8.1 SSRF漏洞简介2.8.2 SSRF漏洞常见接口2.8.3 SSRF漏洞审计2.8.4 SSRF漏洞修复 2.9 SpEL表达式注入漏洞2.9.1 SpEL介绍2.9.2 SpEL漏洞2.9.3 SpEL漏洞审计2.9.4 SpEL漏洞修复 2.10 Java反序列化漏洞2.10.1 Java序列化与反序列化2.10.2 Java反序列化漏洞审计2.10.3 Java反序列化漏洞修复 2.11 SSTI模板注入漏洞2.11.1 Velocity模板引擎介绍2.11.2 SSTI漏洞审计2.11.3 SSTI漏洞修复 2.12整数溢出漏洞2.12.1整数溢出漏洞介绍2.12.2整数溢出漏洞修复 3.2 Struts2框架3.1 Spring框架第3章常见的框架漏洞 3.1 Spring框架3.1.1 Spring介绍3.1.2第一个Spring MVC项目3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE3.1.4 CVE-2018-1273 Spring Data Commons RCE3.1.5 CVE-2017-8046 Spring Data Rest RCE 3.2 Struts2框架3.2.1 Struts2介绍3.2.2第一个Struts2项目3.2.3 OGNL表达式介绍3.2.4 S2-045远程代码执行漏洞3.2.5 S2-048远程代码执行漏洞3.2.6 S2-057远程代码执行漏洞 4.2 MCMS审计案例4.1 OFCMS审计案例第4章代码审计实战 4.1 OFCMS审计案例4.1.1 SQL注入漏洞4.1.2目录遍历漏洞4.1.3任意文件上传漏洞4.1.4模板注入漏洞4.1.5储存型XSS漏洞4.1.6 CSRF漏洞 4.2 MCMS审计案例4.2.1任意文件上传漏洞4.2.2任意文件解压 读书笔记 读书