網路安全Java代碼審計實戰

本書是奇安信認證網路安全工程師培訓教材之一，目的是為網路安全行業培養合格的人才。網路安全人才的培養是一項艱巨的任務，其中代碼審計人才更是“稀缺資源”。本書分為4章。第1章代碼審計基礎，內容包括基礎Java開發環境搭建、代碼審計環境搭建。第2章常見漏洞審計，介紹了多種常見漏洞的成因以及審計和修復的技巧。第3章常見的框架漏洞，介紹了Java開發中經常使用的一些框架的典型漏洞，如Spring、Struts2等的命令執行漏洞。第4章代碼審計實戰，通過對真實環境下的Java應用程式進行審計，向讀者詳細介紹了Java代碼審計的技巧與方法。本書可供軟體開發工程師、網路運維人員、滲透測試工程師、網路安全工程師，以及想要從事網路安全工作的人員閱讀。

第1章　代碼審計基礎 （1）

1.1　Java Web環境搭建 （1）

1.1.1　Java EE介紹 （1）

1.1.2　Java EE環境搭建 （1）

1.2　Java Web動態調試 （18）

1.2.1　Eclipse動態調試 （19）

1.2.2　IDEA動態調試程式 （21）

第2章　常見漏洞審計 （32）

2.1　SQL注入漏洞 （32）

2.1.1　SQL注入漏洞簡介 （32）

2.1.2　執行SQL語句的幾種方式 （33）

2.1.3　常見Java SQL注入 （38）

2.1.4　常規注入代碼審計 （46）

2.1.5　二次注入代碼審計 （48）

2.1.6　SQL注入漏洞修復 （51）

2.2　任意檔案上傳漏洞 （53）

2.2.1　常見檔案上傳方式 （53）

2.2.2　檔案上傳漏洞審計 （56）

2.2.3　檔案上傳漏洞修復 （59）

2.3　XSS漏洞 （61）

2.3.1　XSS常見觸發位置 （61）

2.3.2　反射型XSS （65）

2.3.3　存儲型XSS （66）

2.3.4　XSS漏洞修復 （70）

2.4　目錄穿越漏洞 （73）

2.4.1　目錄穿越漏洞簡介 （73）

2.4.2　目錄穿越漏洞審計 （74）

2.4.3　目錄穿越漏洞修復 （75）

2.5　URL跳轉漏洞 （76）

2.5.1　URL重定向 （77）

2.5.2　URL跳轉漏洞審計 （78）

2.5.3　URL跳轉漏洞修復 （79）

2.6　命令執行漏洞 （80）

2.6.1　命令執行漏洞簡介 （80）

2.6.2　ProcessBuilder命令執行漏洞 （80）

2.6.3　Runtime exec命令執行漏洞 （83）

2.6.4　命令執行漏洞修復 （90）

2.7　XXE漏洞 （90）

2.7.1　XML的常見接口 （91）

2.7.2　XXE漏洞審計 （94）

2.7.3　XXE漏洞修復 （96）

2.8　SSRF漏洞 （97）

2.8.1　SSRF漏洞簡介 （97）

2.8.2　SSRF漏洞常見接口 （98）

2.8.3　SSRF漏洞審計 （101）

2.8.4　SSRF漏洞修復 （103）