小白看过来,Java代码审计入门到进阶系统化学习六大路线,成为六边形战士必备。送的学习资料要好好学。
2022-8-18 19:59:10 Author: 玄魂工作室(查看原文) 阅读量:75 收藏

【炼石计划@Java代码审计】一个系统化从入门到提升学习Java代码审计的知识星球。这里不仅注重夯实基础,更加专注实战进阶。

这是一个成长的地方。

"文末送的学习资料要好好学!"

近期,我将知识星球分享做了重构,现将学习路线设计成了六个大部分,这六个部分不仅注重夯实基础,更加专注实战进阶知识星球通告原文:https://t.zsxq.com/03myrJEQv(已加入的星友记得看一下哦~)

课程内容不过于深入开发细节,注重Java代码审计应学应会的知识点。

欢迎微信扫描下方二维码加入【炼石计划@Java代码审计】

目前星球人数700人,随着内容的沉淀与人数的增长,价格会进相应上调。

现在加入仅需99一年。

Java代码审计漫漫路很长,希望你能从我这里启程,踏上漫无尽头的路。

加入的朋友都说超级值,不信你去问问~

加入方式一:星球后台回复xq

加入方式二:炼石计划@Java代码审计

别犹豫了,在这投资自己绝对须有所获!

加入的朋友,一定要记得看知识星球的置顶文章中的使用手册哦!

下面让我讲讲这几个阶段更新方向吧。

“目录内容只增不减,创作分享正按部就班进行中,会根据实际情况随时作出调整。”

【第一阶段】:Java代码审计之基础知识篇

【第二阶段】:Java代码审计之Web漏洞篇

【第三阶段】:Java代码审计之实战25套JavaWeb系统

【第四阶段】:Java代码审计之历史漏洞分析篇

【第五阶段】:ysoserial调用链代码审计分析和调试篇

【第六阶段】:CodeQL基础学习与实战

【第一阶段】:Java代码审计之基础知识篇

Java代码基础语法,需要大家私下进行补充学习。

在这个阶段,我们主要学习在JAVA代码审计中所需的一些基础概念,基础知识。

为后续实战进阶打好基础知识点,在后续阶段通过实战融会贯通这些知识点。

主要学习以下内容。

  • 1.1 Java基础环境搭建

    • 1.1.1 Java基础环境搭建之Ubuntu(https://t.zsxq.com/03ZBiaUFq)

    • 1.1.2 Java基础环境搭建之Windows(https://t.zsxq.com/03ZBiaUFq)

  • 1.2 JavaWeb基础

    • 1.2.1 Servlet以及过滤器、监听器和拦截器(https://t.zsxq.com/03muVbqvf)

    • 1.2.2 JSP基础(https://t.zsxq.com/037M7AIie)

    • 1.2.3 Spring和SpringMVC(https://t.zsxq.com/03faUj2f6)

    • 1.2.4 SpringBoot和SpringCloud(https://t.zsxq.com/03ImYRJmE)

  • Java文件操作之文件上传(https://t.zsxq.com/04JUfm23f)

  • Java文件操作之文件读取与下载(https://t.zsxq.com/04iYRRnmY)

  • Java命令执行(https://t.zsxq.com/04UJIqJUN)

  • Java数据库操作(https://t.zsxq.com/04IaYVZby)

  • Java反射

  • Java序列化与反序列化

  • JNI

  • RMI

  • JNDI

  • JShell

  • Java主流插件与框架介绍

  • IDEA进阶使用

  • ......

【第二阶段】:Java代码审计之Web漏洞篇

本阶段主要讲述JavaWeb中常见的Web漏洞,辅以Java代码案例,以便更好的在JavaWeb系统中进行漏洞挖掘。

主要学习一下内容。

  • JavaWeb代码审计之SQL注入漏洞

  • JavaWeb代码审计之文件上传漏洞

  • JavaWeb代码审计之文件/读取下载漏洞

  • JavaWeb代码审计之命令执行漏洞

  • JavaWeb代码审计之代码执行漏洞

  • JavaWeb代码审计之反序列化漏洞

  • JavaWeb代码审计之SSRF

  • JavaWeb代码审计之XXE

  • JavaWeb代码审计之SSTI

  • JavaWeb代码审计之SPEL

  • JavaWeb代码审计之内存马

  • ......

【第三阶段】:Java代码审计之实战25套JavaWeb系统

虽然缩减成了了25套,也是为了将充足的精力匀给其他阶段,保证优质内容更好的产出。

本阶段将从开源JavaWeb系统出发,从实践中进行代码审计漏洞挖掘。

是提升Java代码审计能力不可或缺的一环。

  1. 某RBAC管理系统

    【练习环境+教程文章】:https://t.zsxq.com/6aYR3rZ

    【提交作业】:https://t.zsxq.com/E2jeeIM

  2. 某OA办公系统

    【练习环境】:https://t.zsxq.com/Y3rz3ju

    【教程文章】:https://t.zsxq.com/r376UJ6

    【提交作业】:https://t.zsxq.com/RnYbQrr

  3. 迷你天猫商城

    【练习环境】:https://t.zsxq.com/NJaqFq3

    【课程文章】:https://t.zsxq.com/beEynAq

    【视频课程】:https://t.zsxq.com/66u3zny

    【提交作业】:https://t.zsxq.com/Vn23JMj

  4. 货物管理系统

    【练习环境】:https://t.zsxq.com/JIQNVZn

    【教程文章】:https://t.zsxq.com/R7MVbey

    【提交作业】:https://t.zsxq.com/JmaUZZZ

  5. 若依管理系统

    【教程文章】【完整版】:https://t.zsxq.com/znIQZNJ

  6. 企业级通用报表平台

    【练习环境】:https://t.zsxq.com/nIYVnAE

    【教程文章】:https://t.zsxq.com/AyjmqVn

  7. 任务调度系统

    【练习环境】:https://t.zsxq.com/j6YJujm

  8. OFCMS

    【练习环境】:https://t.zsxq.com/Mfama2b

  9. Jpress

    【练习环境】:https://t.zsxq.com/mEUfQBU

  10. 新蜂商城

    【练习环境】:https://t.zsxq.com/yzbmEYz

  11. 华夏ERP

    【练习环境】:https://t.zsxq.com/3FIaYJM

  12. 未完待续......

【第四阶段】:Java代码审计之历史漏洞分析篇

本阶段主要代码审计分析复现基于Java开发的系统或组件的历史漏洞。

有些内容都被其他大佬讲烂了,但我还是会从我的角度进行详细的代码审计分析,手把手讲解系列。

有些内容虽然有很多大佬写过但还是有很多坑,我会将这些坑详细写出来。

当然这个阶段会有对外借鉴的部分,我也引出来源,以便大家全方面学习。

(完成第一阶段,待大家有些基础知识后开启此阶段,可以更加深入学习与理解)

【第五阶段】:ysoserial调用链代码审计分析和调试篇

为了提升Java反序列化漏洞利用能力,我们从ysoserial下手,剖析调试ysoserial中每一个调用链。

  • URLDNS

  • Commons Collections 1

  • Commons Collections 2

  • Commons Beanutils

  • Spring2

  • Hibernate2

  • Groovy1

  • FileUpload1

  • MozillaRhino2

  • Myfaces2

  • ROME1

  • BeanShell1

  • C3P0

  • JBossInterceptors

  • ......

当然,不止上面这些。此阶段我们将从零到一,从简到难,系统的学习ysoserial中的调用链。

【第六阶段】:CodeQL基础学习与实战

这个阶段我也是现学现卖,我会讲我的学习感悟分享出来,以及期间遇到优秀的学习资源。

基于此,我们一起开拓一篇CodeQL带来的自动化代码审计疆域。

(具体分享目录大纲还在整理中,最后阶段会随着大家学习进度及时调整。)

“第一阶段即将分享完毕,现在跟着学习刚刚好。待第一阶段分享完毕后,第二阶段与后面实战阶段穿插分享。并且着手录制视频课程!”

赶紧加入我们吧,犹豫不决也没关系。

送你几套实战课程,后台回复前八套环境即可领取,

觉得还不错欢迎随时加入,但千万别错过优惠价哦~

对了,炼石计划还有其他两个方向的知识星球

(当然了,如果你加入了Java代码审计知识星球后,

可以通过置顶文章获取下面两个知识星球的优惠券)

一个是【炼石计划@PHP代码审计】,这里专注PHP代码审计入门与进阶,欢迎点击下方链接了解。

PHP代码审计学习路线

(现加入价格为129一年,会随着人员加入,内容沉淀,随时上调价格

一个是【炼石计划@渗透攻防宇宙】,这里更专注渗透测试方方面面,Java代码审计和PHP代码审计两个知识星球的基础部分会引入到这个星球,但最后深入方向还是渗透测试。现在还在试运营,价格超低,欢迎点击下方链接了解。

【炼石计划@渗透攻防宇宙】与大家见面了,九大内容的等你来!明天就开始正式分享啦!!!

(现加入价格为68一年,会随着人员加入,内容沉淀,随时上调价格


文章来源: http://mp.weixin.qq.com/s?__biz=MzA4NDk5NTYwNw==&mid=2651429581&idx=1&sn=0de3159d18e0f8c6259807f56f4b8acc&chksm=842381b5b35408a3f83d6201442aa860b42edbe2d006b81d0b253365a9ec669309b52f8780ec#rd
如有侵权请联系:admin#unsafe.sh