T00ls联合《Java代码审计》作者开展发表Java相关文章赠书活动
https://item.jd.com/13350018.html
Java程序猿的代码安全开发参考指南; 渗透攻城狮的Java代码安全审计宝典;
本书简介:
针对应用广泛的Java语言进行代码审计的介绍。 对初学者较为“友好”,可帮助安全人员或研发人员补充实用的预备知识。 对案例的讲解较为详细,方便读者同步进行实际操作,扎实地掌握知识和技能。
作者简介:
徐焱,北京交通大学安全研究员,MS08067安全实验室创始人,2002年接触网络安全,已出版《Web安全攻防:渗透测试实战指南》《内网安全攻防:渗透测试实战指南》《Python安全攻防:渗透测试实战指南》《网络攻防实战研究:漏洞利用与提权》等图书。
陈俊杰,网名:Chenergy,安全狗海青实验室安全研究工程师,MS08067核心成员,主要从事Java Web安全、容器安全、主机安全等方面的攻防研究,曾在FreeBuf、360安全客等媒体发表过多篇技术文章。
李柯俊,网名:有关部门临时工,2018年毕业于天津师范大学,先后就职于启明星辰和天融信,现任天融信阿尔法实验室Web安全研究员;MS08067核心成员;擅长方向:代码审计、渗透测试、安全开发。
章宇,网名:Yu,安全狗海青实验室安全研究工程师,MS08067核心成员,主要从事渗透测试、代码审计等方面研究,曾挖掘过多个CNVD通用型漏洞和CVE漏洞,并在FreeBuf、360安全客等媒体发表过多篇技术文章。
蔡国宝,网名:panda、冷月星辰,90sec 核心成员,MS08067 核心成员,T00ls 荣誉成员,CTF 战队Kn0ck 队员,主要从事代码分析、代码审计等方向的研究,在阿里云先知社区、xray社区等媒体发表过多篇技术文章。
本书内容:
初识Java代码审计;
代码审计环境搭建;
代码审计辅助工具简介;
Java EE基础知识;
“OWASP Top 10 2017”漏洞的代码审计;
“OWASP Top 10 2017”之外常见漏洞的代码审计;
Java EE开发框架安全审计;
Jspxcms代码审计实战;
小话IAST与RASP。
名家推荐:
近年来,愈来愈多的安全服务(尤其各类众测和护网活动)漏洞来自基于Java的各类应用。安全从业者也许对漏洞利用工具的使用了然于心,却对漏洞的产生原理上一知半解。本书是读者进阶的一大利器,修炼好内功才能练就出渗透测试的真功夫! oldjun T00ls网站联合创始人
代码审计一直是发现应用漏洞的有效方式。相对于常见的黑盒扫描,代码审计可以发现更多隐藏的问题,因此常常被当作SDL的非常重要的一环。本书非常详细地介绍了Java环境下代码安全审计的基础知识,并具体介绍了OWASP Top 10 2017相关漏洞的审计方法,是一本不可多得的专业技术图书。 兜哥 蚂蚁金服天堑安全实验室负责人
本书对Java的环境预备知识、基础编程以及辅助工具的使用都做了详细的介绍,通过引入经典的OWASP Top 10漏洞和精彩的案例,对当下热门的Web安全漏洞做了极为详细的剖析。通过阅读本书,读者可以循序渐进地掌握代码审计的初步技巧,其中,开发人员可以了解漏洞产生的根本原因,从而写出更加符合安全规范的代码;渗透测试人员可以从代码层面去理解漏洞的本质,从而达到内外兼修,摆脱对现成工具的依赖。 肖安鹏(御剑) 深圳安巽科技CTO
Java是流行的编程语言,随着DevSecOps“安全左移”的实践,代码安全审计逐渐成为构建安全体系的重要环节,掌握Java代码审计自然是优秀信息安全工程师的必备技能。本书从环境搭建入手,介绍相关工具、漏洞原理和审计方法,是非常不错的深入浅出的Java代码安全审计教材。 lake2 腾讯安全平台部总监
在技术债务相对轻一些的大型互联网企业,Java技术栈占据了非常重要的比重,这些年对业界影响较大的安全漏洞也逐渐集中在Java技术栈中。如今,Java攻防知识似乎已经成为一门必修功课。遗憾的是,很多初学者入门的时候的确没有Java的基础,从开发语言开始学习的曲线略显陡峭。作为一本实战入门图书,本书对初学者是有强吸引力的。要把一件事情用“入门”的口吻说清楚,对作者深入浅出的思考和抽象能力是一个巨大的挑战。感谢作者给初学者提供了一个选择。 赵弼政 美团基础安全负责人
随着云原生、微服务等新技术的兴起,Java语言正逐步变成企业主流的高级开发语言,基于Java语言开发的应用和服务也正经历着前所未有的安全挑战。这是一本不可多得的代码审计类图书,本书作者由浅入深地介绍和讲解如何从零开始做Java代码审计,非常值得推荐! 王任飞(avfisher) 某云厂商蓝军负责人
赠书活动:
时间:2021年7月1日-2021年9月30日
从帖子中java审计、java漏洞研究、java漏洞复现相关的文章里选出优秀文章及作者进行投票,优胜三人将获得《Java代码审计》一本。
评论42次
小白也是无知加了星球,结果白花钱
这书我刚买,还在路上,不知道内容咋样,之前看他们出的书,内容也就那样...
买了星球,都要到期了都还没把电子书发完
国宝之前快递给我一本了,嘿嘿嘿
可以来本java代码审计
看来部分 讲解内容还行 挺适合新手
小白也是无知加了星球,结果白花钱
我要早点看到了,也不至于加了两个
xi惯是用 python 安全攻防来代替 java ,主要是Java功底太烂
对提升自己有帮助就行。有人想被割韭菜,还被割错了呢
没有专门讲RASP或CodeQL的资料,普遍是常规的代码审计。
书里配置方面的错误挺多的。看了没几章就有好几处。最后还是自己百度搞定的。最后实战部分挺少的,可以多些。
还是用 python 安全攻防来代替 java 代码审计
书已经买了,感觉写的挺好的
之前买了本内网渗透 现在又准备入手java代码审计 感谢大佬们
之前出了内网书,我也是第一时间买了
作者之一送了我一本书。
支持表哥
徐总又出新书了,这效率真高!MS08067牛逼
收藏一下地址先
书里边配图模糊的问题解决了吗?看第一批的书都是深色代码截图,还很糊,甚至排版都出现错误了
@Evilnight php yyds永不过时!
想要,但是java目前就会写个System.Output.println这样
应该是System.out.println();吧
有大佬看过没? 这本入门篇,讲的深入到什么地步?
京东上没找到试阅读,只能通过目录判断,似乎是从第四章开始是针对具体的漏洞开始描述分析了,具体深入程度不确定,仅凭目录推测的。
好的 谢谢
有大佬看过没? 这本入门篇,讲的深入到什么地步?
具体目录和介绍可以看这里:https://www.cnpanda.net/life/995.html 本书还是偏向于入门的,不太适合已经有一定能力的 java 代码审计能力的同学哈
好的谢谢
以为加了星球能白嫖电子版,狭隘了,白花钱