Java代码审计 入门篇

代码审计（Code Audit）是一种以发现安全漏洞、程序错误和违反程序规范为目标的源代码分析。Web应用程序目前仍然是安全防御的重中之重，对业务的代码进行安全审计是十分重要的。加之Java语言的应用范围广，国内外大型企业大多采用Java作为核心的开发语言，因此对于安全从业者来说，Java代码审计成为了自身应该掌握的关键技能。

本书是一本Java代码审计入门图书，通过大量的示例介绍代码审计的必备入门知识。全书内容分为9章，主要介绍了代码审计的基础知识、代码审计的环境搭建、辅助工具简介、Java EE基础知识补充、OWASP Top10 2017内外的代码审计经验介绍、JSPXCMS代码审计实战以及IAST与RASP技术的介绍等内容，另外，本书还对Java安全编码规范索引进行了简单的介绍。

本书由浅入深、全面、系统地介绍了Java代码审计的流程、Java Web漏洞产生的原理以及实战讲解，并力求语言通俗易懂、举例简单明了，便于读者阅读领会。同时结合具体案例进行讲解，可以让读者身临其境，快速了解和掌握主流的Java代码安全审计技巧。

阅读本书不要求读者具备代码审计的相关背景，如有相关经验，对理解本书内容会更有帮助。本书也可作为高等院校信息安全专业的教材。

徐焱，北京交通大学安全研究员，MS08067安全实验室创始人。从2002年开始接触网络安全，有丰富的渗透测试经验，主要研究方向为内网渗透测试和APT攻击。已出版图书《网络攻防实战研究：漏洞利用与提权》、《Web安全攻防：渗透测试实战指南》，在《黑客防线》、《黑客X档案》、《黑客手册》、FreeBuf、360安全客、阿里云盾先知、嘶吼等媒体发表过多篇技术文章。