第一章代码审计基础
1.1构建Java web环境
1.1.1JavaEE介绍
1.1.2JavaEE环境构建
1.2JavaWeb动态调试
1.2.1电子表格动态调试
1.2.2IDEA动态调试器
第二章常见漏洞审计
2.1SQL注入漏洞
2.1.1SQL注入漏洞概述
2.1.2执行SQL语句的几种方法
2.1.3常见的JavaSQL注入
2.1.4常规注入代码审计
2.1.5二次注入导线监查
2.1.6SQL注入修复漏洞
2.2任何文件上传漏洞
2.2.1常见文件上传方法
2.2.2文件上传漏洞审计
2.2.3通过上传文件修复漏洞
2.3XSS漏洞
2.3.1XSS的一般触发位置
2.3.2反射式XSS
2.3.3存储型XSS
2.3.4修复XSS漏洞
2.4目录穿过漏洞
2.4.1目录漏洞概述
2.4.2目录漏洞审计
2.4.3目录漏洞修复
2.5URL跳转漏洞
2.5.1网址重定向
2.5.2URL跳跃漏洞审计
2.5.3URL跳跃漏洞修复
2.6指令执行漏洞
2.6.1命令漏洞概述
2.6.2执行process builder命令的漏洞
2.6.3运行时执行命令漏洞
2.6.4命令修复漏洞
2.7XXE漏洞
2.7.1XML常规接口
2.7.2XXE漏洞审计
2.7.3修复xxe漏洞
2.8SSRF漏洞
2.8.1SSRF漏洞概述
2.8.2SSRF漏洞常见接口
2.8.3SSRF漏洞审计
2.8.4修复ssrf漏洞
2.9SpEL式注入漏洞
2.9.1SpEL介绍
2.9.2SpEL漏洞
2.9.3SpEL漏洞审计
2.9.4修复spel漏洞
2.10Java反序列化漏洞
2.10.1Java序列化和反序列化
2.10.2Java反序列化漏洞审计
2.10.3Java反序列化漏洞修复
2.11SSTI模板注入漏洞
2.11.1速率模板引擎介绍
2.11.2SSTI漏洞审计
2.11.3修复ssti漏洞
2.12整数溢出漏洞
2.12.1整数溢出漏洞介绍
2.12.2修复整数溢出漏洞
2.13硬编码密码漏洞
2.14不安全随机数发生器
第三章常见框架漏洞
3.1Spring框架
3.1.1冲刺介绍
3.1.2第一个SpringMVC项目
3.1.3 CVE-2018-1260 springsecurityoauth 2r ce
3.1.4 CVE-2018-1273 springdatacommonsrce
3.1.5 CVE-2017-8046 springdatarestrce
3.2Struts2框架
3.2.1Struts2介绍
3.2.2第一个Struts2项目
3.2.3OGNL公式介绍
3.2.4S2-045远程代码执行漏洞
3.2.5S2-048远程代码执行漏洞
3.2.6S2-057远程代码执行漏洞
第四章代码核查实战
4.1OFCMS审计案例
4.1.1SQL注入漏洞
4.1.2目录遍历漏洞
4.1.3任何文件上传不完整
4.1.4模板注入不完善
4.1.5存储XSS漏洞
4.1.6CSRF漏洞
4.2MCMS审计案例
4.2.1任何文件上传不完整
4.2.2解压缩任何文件