文末送靶场邀请码 | 怎样快速入门Java代码审计？（一问一答汇总）

代码审计（Code Audit）是一种以发现安全漏洞、程序错误和违反程序规范为目标的源代码分析。

根据2020年10月份的CNVD安全月报显示，Web应用程序漏洞占比34%，显而易见Web应用程序仍然是安全防御的重中之重，由此可见对业务的代码进行安全审计是十分重要的。

加之Java语言的应用范围广，国内外大型企业大多都采用Java作为核心的开发语言，因此对于安全从业者来说，Java代码审计成为了自身应该掌握的关键技能。

那么如何做好代码审计呢？欢迎来一起探讨吧~

问：老师您好，我现在是一名软件工程大三在校生，现在对网络安全比较感兴趣，也想将网络安全作为自己的学习方向，同时我也想了解有关代码审计的一些问题，现在的自己有一定的代码基础，对于java代码审计，更应该注重培养哪一方面的能力？我想找准方向，为以后打好基础，希望可以得到您的解答，谢谢老师！

答：同学你好，现在网络安全是一个比较热门的方向，很高兴同学能够对网络安全产生兴趣。对于java代码审计，我认为最关键的是培养自己的代码阅读能力、对漏洞的理解能力以及从实践中总结经验的能力。代码阅读能力是最基础的能力，如果代码都阅读不懂，又谈何说起审计呢？而代码阅读就要求我们去掌握这门语言的语法、一些框架的用途以及这门语言本身可能会产生的漏洞，要对历史漏洞也要有所了解和掌握，其次对漏洞的理解能力，漏洞理解就是对漏洞的原理、利用和修复，能够了然于胸，能够深层次的了解这些漏洞，比如一个简单的 XSS 漏洞，可能出现的场景有哪些？利用方式分为多少类型？审计的关键点在哪里？这些都需要去学习和了解的，《Java代码审计》可能会对你有所帮助。最后是从实践中总结经验的能力，就是说举一反三的能力，比如现在流行的异构漏洞，也是总结出来的，希望对你有所帮助！

问：老师您好，最近在学习渗透测试方向，针对kali系统上的一些软件使用，有没有系统学习的地方，目前网上查到的都不是很详细，还有一个问题就是如何做好一个企业级的渗透测试人员？

答：同学你好，渗透测试的范围很广，kali 仅仅是渗透测试中的一项利用工具集合而已，并且在 kali 中利用到的工具往往就是固定的常用的几种，我更建议的是去了解核心工具的用法、这些核心工具的原理，至于其他不常用的工具，实际上可能有更好的代替攻击，所以导致了其不经常被使用，做好一个企业级的渗透测试，首先要掌握的是最基本的渗透测试知识，《Web安全攻防：渗透测试实战指南》这本书可以参考 ，其次，还需要大量的实际经验，但是由于目前安全法的实施，不能在未取得授权的情况下进行渗透，因此可以考虑诸如挖src、vulhub 虚拟环境等方式来锻炼自己的能力，最后如果满足oscp等报名条件，可以尝试去考一个oscp证书。

问：您好，请问一下对于开发来说，您认为Java代码审计中有哪些不得不学或者说学了之后能写出更安全的Java代码的东西，就是说有无一些对于开发来说非常实用的安全常识。

答：《Java代码审计》这本书当初的定位面向的人群其实有两种，第一个是想学习java 代码审计的新人，第二个是具有开发经验，但是没有安全开发意思的开发人员。我认为在Java代码审计中，一些安全编码的处理、业务逻辑的安全、 java常见漏洞的写法，以及这种漏洞产生的原因，了解这些后，要在你写代码的时候会下意识的考虑你写的代码是否存在这些问题，这样对你的安全开发能力会有很大的提升。

问：Java代码安全和漏洞扫描这种工作是在项目什么阶段开始比较好？Java代码审计的工具非常之多，怎么组合使用？

答：Java代码安全和漏洞扫描肯定是要在项目本身的代码完成后，才可以进行的，一种说法是漏洞属于测试的一部分，因此这两个工作属于测试阶段的功能。Java代码审计的工具商业的、开源的和扫描器相比其实也不是很多，加上准确率高、效率高的就更少了，所以Java代码审计的工具实际上始终要配合人工复现，人工测试才可以得出一个最终的报告，工具能够起到的是辅助作用，掌握代码审计的知识才是关键，这也是《Java代码审计》这本书写出来的原因。

问：问下老师在企业中代码审计这个岗位如果设置的话，需要哪些考核标准？还有从业基本知识有哪些？

答：一般都是Java程序员兼职做的，这个岗位都是研发的同事做，毕竟要改代码的，测试也可以兼职，把错误和工具扫描得到的漏洞上报给研发修改， 测试并多次用工具扫描。

问：您好，java代码审计中，除了findDebugs这种查找bug的插件，像我这样以开发业务为主的程序员需要掌握哪些知识呢？

答：业务开发的话，掌握一些OWASP常见漏洞的漏洞原理，熟悉这些可以在Coding时期就减少这类漏洞出现的概率，然后就是注意业务逻辑不要出问题，web应用漏洞中业务逻辑漏洞占了相当高的比例，所以是需要特别注意的点。

问：代码检查工具一直使用findbugs现在spotbugs，它是在字节码层面检查，阿里的代码规约检查似乎是在源码层面的检查，另外感觉这两个工具对程序错误和程序规范，比较重视， 对代码安全漏洞方面不是重点。

答：日常针对项目的代码审计的话，目前市面上比较好用的和知名度较高的就是fortify了，fortify是基于源码，针对源码进行语义分析来审计的，但是再好的代码审计工具误爆率也是很高的，所以搭配人工审计也是很重要的。

问：老师好，我们日常业务中，主要是企业信息化系统建设，软件系统基本都是部署在企业内网，使用人员也主要是企业内部人员。因此，对软件的安全性要求并不是特别高，所以， 之前基本也就忽视了这些。最近，一个公共查询类的项目是要发布到外网使用的，结果就被反渗透检测到了很多的安全漏洞，致使公司近期非常重视软件系统的安全问题。希望老师能给一个大概的思路，如何在日常的软件开发过程中，去处理这些安全问题？

答：建议买《Java代码审计》这本书看看，或者看一下这个目录里推荐的工具，挨个下载使用一下，BurpSuite，SwitchyOmega，APPSCAN，DIRBUSTER，惠普WEBINSPECT，可以先用一下这些工具，再过去送检？

我们在OSCHINA有一期高手问答，欢迎大家一起来探讨关于Java代码审计相关的问题！
https://www.oschina.net/question/4700705_2324123

希望进一步深入学习JAVA代码安全审计的同学，可以加入我们JAVA审计第二期班学习！

Java代码审计 第2期班 开班~

上课时间

开课时间11月14号，每周二天课，共7周20节课（40小时）
周三：20：00-22:00
周日：14:00-16:00
如果无法准时参加直播，在线培训的每节课程都会被录制成视频上传到学员区，可随时下载观看。

课程费用

每期班定价4999，双十一惊爆价3699，

前30名加入均送JAVA审计知识星球资格（价值499元）；

凡是MS08067旗下任意星球学员或其他培训课程学员，可享内部价3499；

每个报名学员都享受一次免费的重听后续任意一期权益，一次没学懂就再来一遍。

请有意参加培训的学员抓紧报名！支持信用卡、花呗分期（可开票）

学习方式

培训采用在线直播+随堂录播+配套教材+配套星球+课后作业的形式，无需等待，报名后即刻邀请进Java代码审计星球立即开始预习！

关于Java代码审计星球介绍

讲师介绍

讲师A：某甲方公司源代码审计工程师，深入了解常见漏洞源码层因，负责公司核心系统的源码审计及为业务提供漏洞修复方案

讲师B：某乙方安全研究员，主攻Java安全研究和主机安全领域，曾在多个沙龙上进行技术分享，在安全客/先知等平台发表过高质量文章

讲师C：某安全公司安全研究员小姐姐，主攻Java安全研究，擅长代码审计，安全开发，曾在freebuf、paper多个平台发表过高质量文章

团队出品了国内第一本JAVA代码审计图书 -《Java代码审计：入门篇》

购买链接：https://item.jd.com/10033832360716.html

全新课程目录2.0

    你距离审计大佬，只差一个决定       

详情咨询请联系小客服

如何提前预习

• 为更顺利的完成课程相关内容，请同学一定要提前预习相关知识点，已经报名的同学，请阅读实验室出版的《JAVA代码审计：入门篇》一书，并且在赠送的“JAVA审计星球”中学习相关的内容。
  

直播培训和知识星球的区别

• 从内容上来讲，知识星球的定位是图书的部分配套技术视频讲解。而直播培训内容是在此基础上一整套全新的课程体系，强化了JAVA基础，漏洞覆盖面也更全跟更详细、进阶干货内容更加深入、开源组件漏洞分析案例也更多等，总之有本质的区别。

• 从形式来看，知识星球是一个类似论坛版块的形式，更有利于圈子的交流，我们提供的视频教程需要你去下载、去看、去练才能学会，买了如果不下载、下载回来如果不看、看了如果不练那还是没有用。那直播培训的目标是让您学会，而不是仅仅给您一堆视频教程去看，我们会布置作业，会有批改，会有现场解答，更系统的小班辅导，这也是我们每期限定人数的原因。

• 我们非常珍惜读者对MS08067的信任，我们希望可以做小而精的高质量在线培训，如果我们去投广告宣传做大后就会变质，在这里每个报名学员都可以享受免费的重听权益，一次没学懂就再来一遍，实际工作中碰到问题，那就带着问题再来重听一遍。

    为什么选择MS08067直播培训     

MS08067近年来在安全界的口碑还是有目共睹的，特别是对信安感兴趣的学生、爱好者做了些有意义的事情，是真心实意的为读者，绝无半点虚假，做星球的初衷也是为了满足读者对于图书配套视频的需求，不像一些培训把心思花在宣传、花在“卖教程”上，实验室4年出版了5本原创图书就可以看出我们的初心和技术能力。

此次培训围绕红队攻击中的实战应用，重点突出实战、干货、思路、深度。负责讲解的老师也是MS08067的资深核心骨干成员，拥有多年的实战工作经验，让您所学的技术可以在企业中真正用得上。

很多读者跟我反映过开始都是看视频、看书自学，但是一旦遇到实验报错就没法解决，遇到不懂的技术点也没人解答，本应该重点掌握的技术也没有掌握，100%的初学者都会或多或少的走些弯路，学了1-2年还是效率低、进步慢，有的甚至就放弃了信安这个行业，学习信安要有圈子，也要有方法，自学当然没有问题，但该花的钱一分也不能少花。

最后再说下现在的信安培训也是鱼龙混杂，有很多挂羊头卖狗肉的也有很多商业化很成熟的机构，我们只希望做自己、多出书，然后做些小而精的培训，仅此而已。

福利：

攻防训练平台100个免费邀请码

朋友圈转发本文后，点击下方公众号或微信搜索“Ms08067安全服务”公众号，点击关注并回复“双11邀请码”，即可获取平台注册邀请码。获取邀请码后请尽快完成注册信息填写，人满截止。

平台官网：bachang.ms08067.com

扫描下方二维码加入星球学习

加入后邀请你进入内部微信群，内部微信群永久有效！

 

 

来和5000+位同学一起加入星球学习吧！