叮咚~ 您有一份关于java代码审计权威指南待查收。

今天异步君给大家推荐一本由多名Ms08067实验室核心成员总结他们多年实战经验，共同编写的《Java代码审计（入门篇）》。

在这本书撰写之时国内市场还没有Java代码安全审计相关的技术图书，而这也是作者们撰写本书的出发点，希望能为网络安全行业贡献自己的微薄之力。用Ms08067实验室的话来描述便是“我们只做有意义的事情，市场空白我们来填补。”

总的来说，这是一本对网络安全领域来说很有意义的书！并且，这本书也不负众望，一经面世，便被称为“Java代码审计入门手册”、“Java代码审计初学者指南”、“掌握网络空间世界安全主动权的宝典”.....

有阳光的地方，就一定有阴影。在网络信息化不断发展的时代背景下，国内外各类网络安全事件层出不穷。比如：

2019年1月，拼多多被曝出现重大BUG，被黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券，进行不正当牟利；

2021年3月，因为 Filecoin RPC 代码里面的一个 bug，币安交易所会把一笔合法的存款处理两次，并在链下计入双倍的金额，涉及460万美元；

2021年4月，黑客利用Facebook 同步联系人工具中的漏洞，曝光了5. 33 亿Facebook用户的个人数据，这些用户涉及 106 个国家和地区，泄露的信息包括用户在Facebook的账户名、位置、生日以及电子邮件地址等；

......

其实，这些事故一般都是因为源代码存在漏洞，被黑客趁虚而入造成的。而想要一个没有漏洞的代码，代码审计便是最好的帮手。

那么如何入门并学好代码审计呢？异步君建议你从徐焱主编的这本《Java代码审计（入门篇）》学起。

一本书得到数位大牛的推荐，离不开优秀的作者、优质的内容，也不离开“用心”、“实用”的知识框架设置，力求让更多学习代码审计的人成功入门代码审计、爱上代码审计。

— 01 —

真正意义上的入门级别的

Java代码安全审计图书

（1）对症下药，直击开发人员痛点

“谋定而后动，知止而有得"，我们发现在不少Java开发人员身上有这样的痛点：“虽初具Web应用开发的安全意识，却仍存在‘面积较大的技术盲区’，并且暂未建立起代码审计与安全开发的知识、技术框架。”

对于此，这本系统地介绍Java代码安全审计人门技术的图书助力开发人员缓解这一痛点，通过核心章节帮助开发人员了解安全人员做Web漏洞挖掘时在想什么，并思考、绘制属于自己的Java安全知识、技能结构图，能知己知彼，百战不殆。

（2）精心设置知识框架，夯实Java代码审计基本功

在本书编写过程中，遵从的主旨是“通过较详细的漏洞点剖析以及代码审计实战演示帮助读者朋友初步了解Java代码审计，夯实Java代码审计的基本功，并迈入Java代码审计的大门”。

为此，对结构进行合理划分，帮助读者由“单点到代码全局”了解漏洞，并达到“从人门到适度提高”的学习目的。

第1~4章介绍Java代码审计预备知识；

第5章和第6章介绍典型的JavaWeb漏洞；

第7章介绍Java EE开发框架安全审计；

第8章介绍开源Java Web应用代码审计实战知识；

第9章介绍“交互式应用程序安全测试”与“运行时应用自保护”的相关知识；

附录帮助读者了解Java安全编码规范。

按照学习路径走，一步一个脚印，过五关斩六将，拿下Java代码审计这一城池！

（3）拒绝纸上谈兵，通过大量的示例介绍代码审计的必备入门知识

本书所有内容依托代码与实验得出，并非纸上谈兵。

例如，书中介绍了“OWASPTop 10 2017”十大Web应用程序安全风险列表中的典型Java代码审计案例（注入、失效的身份认证、敏感信息泄露、XML外部实体注人、失效的访问控制、安全配置错误、跨站脚本攻击、不安全的反序列化、使用含有已知漏洞组件以及不足的日志记录和监控）。

这些案例可帮助读者在较短时间内理解并掌握高频漏洞的代码审计关键问题。

此外，书中还介绍CSRF漏洞的原理和实例、SSRF漏洞的原理和实例、URL跳转与钓鱼漏洞讲解、文件包含漏洞讲解、文件上传讲解、文件下载讲解、文件写入讲解、文件解压讲解、Web后]讲解、逻辑漏洞讲解、CORS/SCP介绍、拒绝服务攻击原理和实例、点击劫持漏洞原理和实例、HPP漏洞介绍等知识点。

这些知识点能够帮助读者了解漏洞的形成原因，理解漏洞的利用方式以及漏洞修复方法。

（4）视频讲解内容延伸，图文并茂轻松入门

这本书由浅入深、全面、系统地介绍了Java代码审计的流程、Java Web漏洞产生的原理以及实战讲解，并力求语言通俗易懂、举例简单明了，便于读者阅读领会。

同时结合具体案例进行讲解，可以让读者身临其境，快速了解和掌握主流的Java代码安全审计技巧。

其中，通过视频讲解进行内容延伸，附以清晰直观的图片诠释内容，让学习变得更为轻松。

这本书的好从“黑客防线”栏目创始人，“黑客X档案”、“黑客手册”创始人部分土豆进城对本书的评价便可一窥：

“读完该书部分章节， 我觉得，写得很好很全很专业，做为一名编辑，我懂一本书它为什么好，从行文严谨度、知识点密度、引导铺垫方式这些维度，我觉得这本书的人机界面是友好的，它具有能把一名读者由浅人深循循善诱渐引入门的能力。”

是的，编辑的眼光果然是专业的，异步君在通读本书后，便发现了这本书并不像传统技术书一样通篇文字，密密麻麻得让人头晕，这本书图文并茂，提供一种舒适的阅读感受。

— 02 —

这本书如何买？

《Java代码审计（入门篇）》

作者： 徐焱

提醒一下

新书发售，优惠多多！

原价 ¥129.9

京东8.4折优惠，到手价 ¥109.10

当当网更有7.5折优惠，到手价¥97.4

几顿快餐钱，值得！