【炼石计划@Java代码审计】一个系统化从入门到提升学习Java代码审计的知识星球。这里不仅注重夯实基础,更加专注实战进阶。
这是一个成长的地方。
"文末送的学习资料要好好学!"
近期,我将知识星球分享做了重构,现将学习路线设计成了六个大部分,这六个部分不仅注重夯实基础,更加专注实战进阶。知识星球通告原文:https://t.zsxq.com/03myrJEQv(已加入的星友记得看一下哦~)
课程内容不过于深入开发细节,注重Java代码审计应学应会的知识点。
欢迎微信扫描下方二维码加入【炼石计划@Java代码审计】
目前星球人数700人,随着内容的沉淀与人数的增长,价格会进相应上调。
现在加入仅需99一年。
Java代码审计漫漫路很长,希望你能从我这里启程,踏上漫无尽头的路。
加入的朋友都说超级值,不信你去问问~
加入方式一:星球后台回复xq
加入方式二:炼石计划@Java代码审计
别犹豫了,在这投资自己绝对须有所获!
加入的朋友,一定要记得看知识星球的置顶文章中的使用手册哦!
下面让我讲讲这几个阶段更新方向吧。
“目录内容只增不减,创作分享正按部就班进行中,会根据实际情况随时作出调整。”
【第一阶段】:Java代码审计之基础知识篇
【第二阶段】:Java代码审计之Web漏洞篇
【第三阶段】:Java代码审计之实战25套JavaWeb系统
【第四阶段】:Java代码审计之历史漏洞分析篇
【第五阶段】:ysoserial调用链代码审计分析和调试篇
【第六阶段】:CodeQL基础学习与实战
Java代码基础语法,需要大家私下进行补充学习。
在这个阶段,我们主要学习在JAVA代码审计中所需的一些基础概念,基础知识。
为后续实战进阶打好基础知识点,在后续阶段通过实战融会贯通这些知识点。
主要学习以下内容。
1.1 Java基础环境搭建
1.1.1 Java基础环境搭建之Ubuntu(https://t.zsxq.com/03ZBiaUFq)
1.1.2 Java基础环境搭建之Windows(https://t.zsxq.com/03ZBiaUFq)
1.2 JavaWeb基础
1.2.1 Servlet以及过滤器、监听器和拦截器(https://t.zsxq.com/03muVbqvf)
1.2.2 JSP基础(https://t.zsxq.com/037M7AIie)
1.2.3 Spring和SpringMVC(https://t.zsxq.com/03faUj2f6)
1.2.4 SpringBoot和SpringCloud(https://t.zsxq.com/03ImYRJmE)
Java文件操作之文件上传(https://t.zsxq.com/04JUfm23f)
Java文件操作之文件读取与下载(https://t.zsxq.com/04iYRRnmY)
Java命令执行(https://t.zsxq.com/04UJIqJUN)
Java数据库操作(https://t.zsxq.com/04IaYVZby)
Java反射
Java序列化与反序列化
JNI
RMI
JNDI
JShell
Java主流插件与框架介绍
IDEA进阶使用
......
本阶段主要讲述JavaWeb中常见的Web漏洞,辅以Java代码案例,以便更好的在JavaWeb系统中进行漏洞挖掘。
主要学习一下内容。
JavaWeb代码审计之SQL注入漏洞
JavaWeb代码审计之文件上传漏洞
JavaWeb代码审计之文件/读取下载漏洞
JavaWeb代码审计之命令执行漏洞
JavaWeb代码审计之代码执行漏洞
JavaWeb代码审计之反序列化漏洞
JavaWeb代码审计之SSRF
JavaWeb代码审计之XXE
JavaWeb代码审计之SSTI
JavaWeb代码审计之SPEL
JavaWeb代码审计之内存马
......
虽然缩减成了了25套,也是为了将充足的精力匀给其他阶段,保证优质内容更好的产出。
本阶段将从开源JavaWeb系统出发,从实践中进行代码审计漏洞挖掘。
是提升Java代码审计能力不可或缺的一环。
某RBAC管理系统
【练习环境+教程文章】:https://t.zsxq.com/6aYR3rZ
【提交作业】:https://t.zsxq.com/E2jeeIM
某OA办公系统
【练习环境】:https://t.zsxq.com/Y3rz3ju
【教程文章】:https://t.zsxq.com/r376UJ6
【提交作业】:https://t.zsxq.com/RnYbQrr
迷你天猫商城
【练习环境】:https://t.zsxq.com/NJaqFq3
【课程文章】:https://t.zsxq.com/beEynAq
【视频课程】:https://t.zsxq.com/66u3zny
【提交作业】:https://t.zsxq.com/Vn23JMj
货物管理系统
【练习环境】:https://t.zsxq.com/JIQNVZn
【教程文章】:https://t.zsxq.com/R7MVbey
【提交作业】:https://t.zsxq.com/JmaUZZZ
若依管理系统
【教程文章】【完整版】:https://t.zsxq.com/znIQZNJ
企业级通用报表平台
【练习环境】:https://t.zsxq.com/nIYVnAE
【教程文章】:https://t.zsxq.com/AyjmqVn
任务调度系统
【练习环境】:https://t.zsxq.com/j6YJujm
OFCMS
【练习环境】:https://t.zsxq.com/Mfama2b
Jpress
【练习环境】:https://t.zsxq.com/mEUfQBU
新蜂商城
【练习环境】:https://t.zsxq.com/yzbmEYz
华夏ERP
【练习环境】:https://t.zsxq.com/3FIaYJM
未完待续......
本阶段主要代码审计分析复现基于Java开发的系统或组件的历史漏洞。
有些内容都被其他大佬讲烂了,但我还是会从我的角度进行详细的代码审计分析,手把手讲解系列。
有些内容虽然有很多大佬写过但还是有很多坑,我会将这些坑详细写出来。
当然这个阶段会有对外借鉴的部分,我也引出来源,以便大家全方面学习。
(完成第一阶段,待大家有些基础知识后开启此阶段,可以更加深入学习与理解)
为了提升Java反序列化漏洞利用能力,我们从ysoserial下手,剖析调试ysoserial中每一个调用链。
URLDNS
Commons Collections 1
Commons Collections 2
Commons Beanutils
Spring2
Hibernate2
Groovy1
FileUpload1
MozillaRhino2
Myfaces2
ROME1
BeanShell1
C3P0
JBossInterceptors
......
当然,不止上面这些。此阶段我们将从零到一,从简到难,系统的学习ysoserial中的调用链。
这个阶段我也是现学现卖,我会讲我的学习感悟分享出来,以及期间遇到优秀的学习资源。
基于此,我们一起开拓一篇CodeQL带来的自动化代码审计疆域。
(具体分享目录大纲还在整理中,最后阶段会随着大家学习进度及时调整。)
“第一阶段即将分享完毕,现在跟着学习刚刚好。待第一阶段分享完毕后,第二阶段与后面实战阶段穿插分享。并且着手录制视频课程!”
赶紧加入我们吧,犹豫不决也没关系。
送你几套实战课程,后台回复前八套环境
即可领取,
觉得还不错欢迎随时加入,但千万别错过优惠价哦~
对了,炼石计划还有其他两个方向的知识星球
(当然了,如果你加入了Java代码审计知识星球后,
可以通过置顶文章获取下面两个知识星球的优惠券)
一个是【炼石计划@PHP代码审计】,这里专注PHP代码审计入门与进阶,欢迎点击下方链接了解。
(现加入价格为129一年,会随着人员加入,内容沉淀,随时上调价格)
一个是【炼石计划@渗透攻防宇宙】,这里更专注渗透测试方方面面,Java代码审计和PHP代码审计两个知识星球的基础部分会引入到这个星球,但最后深入方向还是渗透测试。现在还在试运营,价格超低,欢迎点击下方链接了解。
【炼石计划@渗透攻防宇宙】与大家见面了,九大内容的等你来!明天就开始正式分享啦!!!
(现加入价格为68一年,会随着人员加入,内容沉淀,随时上调价格)