《Java安全-只有Java安全才能拯救宇宙》
本项目是记录自己在学习研究Java安全过程中遇到的优秀内容,包括Java代码审计资源以及Java开发的应用程序组件协议等的安全内容。一个不会Java攻击的黑客不是一个好师傅,一个不懂Java安全的师傅不是一个好黑客!深入理解Java安全,手握众多重点Java应用高危0day!作者:0e0w[1]
本项目创建于2021年7月8日,最近的一次更新时间为2022年4月25日。本项目会持续更新,直到海枯石烂。
•01-Java安全研究资源[2]•02-Java安全研究工具[3]•03-Java安全漏洞环境[4]•04-Java安全漏洞分类[5]•05-Java安全代码审计[6]•06-Java安全漏洞修复[7]•07-Java安全高危应用[8]•08-Java安全参考资源[9]
01-Java安全研究资源
一、书籍资料
• 《Java代码审计-入门篇》[10]@陈俊杰等• 《Java代码审计实战》[11]@高昌盛等• 《Java安全编码标准》[12]@计文柯译• 《Java安全性编程指南》[13]@庞南• 《Java安全》[14]@奥克斯• 《Java编码指南》[15]@刘先宁• 《Java-Web-Security》[16]@Dominik Schadow
二、基础教程
• 《Java Web安全-代码审计》[17]@凌天实验室• 《Java安全漫谈笔记相关内容》[18]@phith0n• 《Java代码审计学习笔记》[19]@proudwind• 《Java漏洞学习笔记》[20]@SummerSec• 《代码审计入门小项目》[21]@cn-panda• 《自学Java安全总结》[22]@Maskhe• 《攻击Java Web应用》[23]@安百科技• 《Java RCE 回显测试代码》[24]@feihong• 《Java反序列化技术分享》[25]@Y4er• 《Java代码审计总结》[26]@huyuanzhi2• 《代码审计知识点整理-Java》[27]@7hang• 《Java代码审计案例》[28]@5huai• 《Java安全和Java框架漏洞》[29]@Firebasky• 《Java安全相关的漏洞和技术demo》[30]@threedr3am• 《跟我一起JAVA代码审计》[31]@0neOfU4• 《告别脚本小子系列丨JAVA安全》@烽火台实验室
三、视频教程
• 《MS08067安全实验室》[32]@MS08067• 《Java代码审计系列课程》[33]@Hack_Man• 《Java代码审计课程》[34]@嘉为教育• 《宽字节安全 JAVA安全线上进阶课程》[35]@宽字节• 《Securing Java Web Applications》[36]@Josh Cummings
四、培训演讲
五、专利文献
• 一种基于java的web动态安全漏洞检测方法[37]@安恒
六、审计报告
七、其他资源
•https://github.com/topics/static-analysis?l=java• 《攻击Java Web应用》[38]@javasec• 《J2EE 渗透测试与安全开发》[39]@路人甲• 《静态程序分析入门教程》[40]• 《Java代码审计文章集合》[41]@r00tuser• https://github.com/su18/JDBC-Attack• https://xz.aliyun.com/t/7945• http://tttang.com/archive/1322• https://teamssix.com/211115-165745.html• https://teamssix.com/211115-123451.html• https://github.com/dean2021/java_security_book• https://github.com/yq1ng/Java• https://github.com/wa1ki0g/javasec• https://github.com/pen4uin/JavaSec• https://github.com/javaparser/javaparser• https://github.com/safe6Sec/JavaDeserialization• https://github.com/ninthDevilHAUNSTER/JavaSecLearning• https://github.com/Ghost2097221/javaweb_security_study_notes• https://github.com/Cryin/JavaID• https://paper.seebug.org/312• https://tttang.com/archive/1337• https://paper.seebug.org/1766• https://github.com/p1n93r/javasec• https://github.com/haby0/sec-note• https://github.com/woodpecker-appstore/rmi-deserialization-vuldb• https://github.com/4ra1n/JavaSecInterview• https://github.com/4ra1n/FindShell• https://github.com/pen4uin/java-security• https://github.com/flowerwind/JspFinder• https://github.com/TonyD0g/JavaHacker• https://github.com/qtc-de/remote-method-guesser• https://github.com/fynch3r/Gadgets• https://tttang.com/archive/1405• https://github.com/eugenp/tutorials• https://github.com/Adrninistrator/java-all-call-graph• https://github.com/KeenSecurityLab/BinAbsInspector
02-Java安全研究工具
工欲善其事必先利其器,此处收集整理Java代码审计的一些优秀工具!期待自己的代码审计工具能够早日发布!
一、SAST
•https://github.com/ASTTeam/SAST• https://github.com/wooyunwang/Fortify• https://github.com/FeeiCN/Cobra• https://github.com/LoRexxar/Kunlun-M• https://checkstyle.sourceforge.io• https://github.com/j5s/XVulnFinder• https://github.com/SummerSec/SPATool• Tencent Xcheck[42]
二、DAST
•https://github.com/ASTTeam/DAST
三、IAST
•https://github.com/ASTTeam/IAST•https://github.com/HXSecurity/DongTai
四、CodeQL
•https://github.com/HackJava/CodeQL•https://codeql.github.com
五、RASP
•https://github.com/0e0w/RASP
六、JNDI
•https://github.com/HackJava/JNDI• https://github.com/bradfitz/jndi• https://github.com/EmYiQing/LDAPKit• https://github.com/su18/JNDI• https://github.com/welk1n/JNDI-Injection-Exploit• https://github.com/feihong-cs/JNDIExploit• https://github.com/0x727/JNDIExploit• https://github.com/veracode-research/rogue-jndi• https://github.com/quentinhardy/jndiat• https://github.com/p1n93r/AttackJNDI• https://github.com/Jeromeyoung/JNDIExploit-1• https://github.com/exp1orer/JNDI-Inject-Exploit• https://github.com/zu1k/ldap-log• https://github.com/orleven/Celestion
七、Deserialization
• https://github.com/wh1t3p1g/ysomap• https://github.com/frohoff/ysoserial• https://github.com/KpLi0rn/ysoserial• https://github.com/Y4er/ysoserial• https://github.com/0range228/Gadgets• https://github.com/ikkisoft/SerialKiller• https://github.com/5wimming/gadgetinspector• https://github.com/threedr3am/gadgetinspector• https://github.com/JackOfMostTrades/gadgetinspector• https://github.com/Afant1/JavaSearchTools• https://github.com/j1anFen/ysoserial_echo• https://github.com/EmYiQing/ShortPayload
八、Monitor
• https://github.com/TheKingOfDuck/FileMonitor• https://github.com/TheKingOfDuck/MySQLMonitor• https://github.com/Lotus6/FileMonitor
九、IDEA
• https://github.com/XianYanTechnology/RocB• https://github.com/momosecurity/momo-code-sec-inspector-java• https://github.com/XmirrorSecurity/OpenSCA-intellij-plugin
十、Others
• https://github.com/MobSF/mobsfscan• https://github.com/threedr3am/log-agent• https://github.com/wh1t3p1g/tabby• https://github.com/j5s/XVulnFinder• https://github.com/EmYiQing/CodeInspector• https://github.com/mtxiaowangzi/CAFJE• https://github.com/returntocorp/semgrep• https://github.com/cqkenuo/LingZhi• https://github.com/blinkfox/stalker• https://github.com/spotbugs/spotbugs• https://github.com/SonarSource/sonarqube• https://www.jarchitect.com• https://github.com/eclipse/eclemma• https://github.com/phith0n/zkar• https://github.com/Firebasky/GoRmi• https://github.com/LostZX/Kakaka• https://github.com/jenkinsci/snyk-security-scanner-plugin• https://github.com/secdec/attack-surface-detector-burp• https://github.com/0Kee-Team/JavaProbe• https://github.com/EmYiQing/SpringInspector• https://github.com/whwlsfb/JDumpSpider• https://github.com/Ppsoft1991/CodeReviewTools• https://github.com/0nise/shell-plus• https://github.com/4ra1n/SpringInspector• https://github.com/GraxCode/cafecompare
03-Java安全漏洞环境
此处收集整理Java安全漏洞研究的一些环境,包括Web环境,应用框架漏洞环境等。
• WebBug-JavaEE编写的Web漏洞靶场[43]@mysticbinary• WebGoat-一个故意不安全的应用程序[44]@WebGoat• JavaSecurity-Java Web漏洞演示程序[45]@dschadow• Java-Web-Security-书籍完整代码示例[46]@dschadow• maobugs-Java 漏洞平台包含各种CVE演示[47]@langligelang• SecExample-Java漏洞靶场[48]@tangxiaofeng7• java sec code-学习Java漏洞代码的项目[49]@JoyChou93• dvja-该死的易受攻击的 Java EE应用程序[50]@appsecco• JavaVulnerableLab-易受攻击的Java Web应用程序[51]@CSPF-Founder• Java_deserialize_vuln_lab-Java反序列化学习的实验代码[52]@bit4woo• Java-EE-VulnWeb用于演示的Java Web漏洞项目[53]@mtxiaowangzi• Hello Java Sec-Java安全编码和代码审计[54]@3ers3• javaweb codereview-演示java代码审计程序[55]@iiiusky• sqlilab Jsp-jsp版sqlilab 1-21关[56]@yhy0• ShiroAndFastJson-shiro加fastjson环境[57]@safe6Sec• RMI 反序列化环境 一步步[58]@lalajun• mytestvul-一个用来做漏洞复现/验证的小框架[59]@novysodope• JavaVulnerableLab circle-练习Java反序列化的最简单环境[60]@pmiaowu• 易受攻击的Java Web应用程序[61]@Zhangyao-zzyy• https://github.com/l4yn3/micro_service_seclab• https://github.com/GoSecure/goinsecure-deserialization• https://gitee.com/cor0ps/java-range• https://github.com/c0ny1/xxe-lab• https://github.com/shanika04/Kura_XXE• https://github.com/t0thkr1s/allsafe• https://github.com/oversecured/ovaa• https://github.com/jaiswalakshansh/Vuldroid• https://github.com/baidu-security/openrasp-testcases• https://github.com/cschneider4711/Marathon• https://github.com/pmiaowu/RMITest• https://github.com/OWASP-Benchmark/BenchmarkJava• https://github.com/EmYiQing/CIDemo• https://github.com/Y4tacker/JavaSec• https://github.com/javaweb-sec/javaweb-vuls• https://github.com/LandGrey/SpringBootVulExploit
04-Java安全漏洞分类
•Java反序列化漏洞•任意命令执行漏洞•任意文件上传漏洞•任意文件写入漏洞•任意文件包含漏洞•任意文件删除漏洞•SQL注入漏洞•业务逻辑漏洞•变量覆盖漏洞•程序安装问题•XSS漏洞•XXE漏洞•SSRF漏洞•CSRF漏洞
05-Java安全代码审计
一、Java安全Web漏洞
二、Java代码审计实战
06-Java安全漏洞修复
一、Java安全编码规范
• 《Java安全编码标准》[62]@计文柯•OWASP 安全编码规范[63]•腾讯-Java安全编码规范[64]•陌陌-Java安全编码规范[65]•华为-Java安全编码规范•绿盟-Java安全编码规范•奇安信-Java安全编码规范•软通动力-Java-Web安全开发规范•securitypaper-Java安全编码规范[66]
二、Java安全漏洞修复
07-Java高危应用框架
此处整理收集Java开发的普遍使用的程序:包括中间件、核心框架、底层库、重要应用系统等。待更新。
•Log4j2[67]•Shiro[68]•Weblogic[69]•MyBatis•Spring
08-Java安全参考资源
本人在学习Java安全的过程中遇到了很多优秀的Java安全研究员,感谢这些研究者!排名不分先后。
•https://github.com/4ra1n•https://github.com/phith0n•https://github.com/su18•https://github.com/welk1n•https://github.com/threedr3am•https://github.com/Y4er•https://github.com/wh1t3p1g•https://xz.aliyun.com/u/44415
Stargazers
[70]
Forkers
[71]
[72]
引用链接
[1] 0e0w: https://github.com/0e0w[2] 01-Java安全研究资源: https://github.com/HackJava/HackJava#01-java%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6%E8%B5%84%E6%BA%90[3] 02-Java安全研究工具: https://github.com/HackJava/HackJava#02-java%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6%E5%B7%A5%E5%85%B7[4] 03-Java安全漏洞环境: https://github.com/HackJava/HackJava#03-java%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83[5] 04-Java安全漏洞分类: https://github.com/HackJava/HackJava#04-Java%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E7%B1%BB[6] 05-Java安全代码审计: https://github.com/HackJava/HackJava#05-Java%E5%AE%89%E5%85%A8%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1[7] 06-Java安全漏洞修复: https://github.com/HackJava/HackJava#06-java%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E4%BF%AE%E5%A4%8D[8] 07-Java安全高危应用: https://github.com/HackJava/HackJava#07-java%E5%AE%89%E5%85%A8%E9%AB%98%E5%8D%B1%E5%BA%94%E7%94%A8[9] 08-Java安全参考资源: https://github.com/HackJava/HackJava#08-java%E5%AE%89%E5%85%A8%E5%8F%82%E8%80%83%E8%B5%84%E6%BA%90[10] 《Java代码审计-入门篇》: https://item.jd.com/10033832360716.html[11] 《Java代码审计实战》: https://item.jd.com/13466996.html[12] 《Java安全编码标准》: https://book.douban.com/subject/24846041[13] 《Java安全性编程指南》:[14] 《Java安全》:[15] 《Java编码指南》: https://www.amazon.co.uk/%E7%BC%96%E5%86%99%E5%AE%89%E5%85%A8%E5%8F%AF%E9%9D%A0%E7%A8%8B%E5%BA%8F%E7%9A%8475%E6%9D%A1%E5%BB%BA%E8%AE%AE%EF%BC%88%E8%8B%B1%E6%96%87%E7%89%88%EF%BC%89-%E5%BE%B7%E9%B2%81%C2%B7%E8%8E%AB%E6%AC%A3%E8%BE%BE%EF%BC%88Dhruv-C-%E8%A5%BF%E7%A7%91%E5%BE%B7%EF%BC%88Robert-F-%E8%90%A8%E7%91%9F%E5%85%B0%EF%BC%88Dean-%E5%BC%97%E9%9B%B7%E5%BE%B7%C2%B7%E6%9C%97%EF%BC%88Fred/dp/B017WGUFKO[16] 《Java-Web-Security》: https://play.google.com/store/books/details/Java_Web_Security_Sichere_Webanwendungen_mit_Java_?id=ZxZ4DwAAQBAJ&hl=en_US&gl=US[17] 《Java Web安全-代码审计》:[18] 《Java安全漫谈笔记相关内容》: https://github.com/phith0n/JavaThings[19] 《Java代码审计学习笔记》: https://github.com/proudwind/javasec_study[20] 《Java漏洞学习笔记》: https://github.com/SummerSec/JavaLearnVulnerability[21] 《代码审计入门小项目》: https://github.com/cn-panda/JavaCodeAudit[22] 《自学Java安全总结》: https://github.com/Maskhe/javasec[23] 《攻击Java Web应用》: https://github.com/March110/javaweb-sec[24] 《Java RCE 回显测试代码》: https://github.com/feihong-cs/Java-Rce-Echo[25] 《Java反序列化技术分享》: https://github.com/Y4er/WebLogic-Shiro-shell[26] 《Java代码审计总结》: https://github.com/huyuanzhi2/CodeReview[27] 《代码审计知识点整理-Java》: https://github.com/7hang/--Java[28] 《Java代码审计案例》: https://github.com/5huai/POC-Test[29] 《Java安全和Java框架漏洞》: https://github.com/Firebasky/Java[30] 《Java安全相关的漏洞和技术demo》: https://github.com/threedr3am/learnjavabug[31] 《跟我一起JAVA代码审计》: https://www.freebuf.com/column/1289[32] 《MS08067安全实验室》: https://space.bilibili.com/396298765?spm_id_from=333.788.b_765f7570696e666f.2[33] 《Java代码审计系列课程》: https://edu.51cto.com/course/27875.html[34] 《Java代码审计课程》: https://www.learnfuture.com/study/ist126v[35] 《宽字节安全 JAVA安全线上进阶课程》: https://www.cnblogs.com/unicodeSec/p/15062087.html[36] 《Securing Java Web Applications》: https://www.pluralsight.com/courses/java-web-application-security-vulnerabilities[37] 一种基于java的web动态安全漏洞检测方法: https://patents.google.com/patent/CN103699480B/zh[38] 《攻击Java Web应用》: https://zhishihezi.net/b/5d644b6f81cbc9e40460fe7eea3c7925[39] 《J2EE 渗透测试与安全开发》: https://zhishihezi.net/b/98ae566719b21536dff0c4febaa697d2[40] 《静态程序分析入门教程》: https://github.com/RangerNJU/Static-Program-Analysis-Book[41] 《Java代码审计文章集合》: https://www.cnblogs.com/r00tuser/p/10577571.html[42] Tencent Xcheck: https://cloud.tencent.com/product/asd[43] WebBug-JavaEE编写的Web漏洞靶场: https://github.com/Mysticbinary/WebBug[44] WebGoat-一个故意不安全的应用程序: https://github.com/WebGoat/WebGoat[45] JavaSecurity-Java Web漏洞演示程序: https://github.com/dschadow/JavaSecurity[46] Java-Web-Security-书籍完整代码示例: https://github.com/dschadow/Java-Web-Security[47] maobugs-Java 漏洞平台包含各种CVE演示: https://github.com/langligelang/maobugs[48] SecExample-Java漏洞靶场: https://github.com/tangxiaofeng7/SecExample[49] java sec code-学习Java漏洞代码的项目: https://github.com/JoyChou93/java-sec-code[50] dvja-该死的易受攻击的 Java EE应用程序: https://github.com/appsecco/dvja[51] JavaVulnerableLab-易受攻击的Java Web应用程序: https://github.com/CSPF-Founder/JavaVulnerableLab[52] Java_deserialize_vuln_lab-Java反序列化学习的实验代码: https://github.com/bit4woo/Java_deserialize_vuln_lab[53] Java-EE-VulnWeb用于演示的Java Web漏洞项目: https://github.com/mtxiaowangzi/Java-EE-VulnWeb[54] Hello Java Sec-Java安全编码和代码审计: https://github.com/j3ers3/Hello-Java-Sec[55] javaweb codereview-演示java代码审计程序: https://github.com/iiiusky/javaweb-codereview[56] sqlilab Jsp-jsp版sqlilab 1-21关: https://github.com/yhy0/sqlilab-Jsp[57] ShiroAndFastJson-shiro加fastjson环境: https://github.com/safe6Sec/ShiroAndFastJson[58] RMI 反序列化环境 一步步: https://github.com/lalajun/RMIDeserialize[59] mytestvul-一个用来做漏洞复现/验证的小框架: https://github.com/novysodope/mytestvul[60] JavaVulnerableLab circle-练习Java反序列化的最简单环境: https://github.com/pmiaowu/DeserializationTest[61] 易受攻击的Java Web应用程序: https://github.com/Zhangyao-zzyy/JavaVulnerableLab-circle[62] 《Java安全编码标准》: https://developer.aliyun.com/article/175341[63] OWASP 安全编码规范: https://owasp.org/www-pdf-archive/OWASP_SCP_Quick_Reference_Guide_%28Chinese%29.pdf[64] 腾讯-Java安全编码规范: https://github.com/Tencent/secguide/blob/main/Java%E5%AE%89%E5%85%A8%E6%8C%87%E5%8D%97.md[65] 陌陌-Java安全编码规范: https://github.com/momosecurity/rhizobia_J[66] securitypaper-Java安全编码规范: https://www.securitypaper.org/2.sdl%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8C%83[67] Log4j2: https://github.com/HackJava/Log4j2[68] Shiro: https://github.com/HackJava/Shiro[69] Weblogic: https://github.com/HackJava/Weblogic[70]
: https://github.com/HackJava/HackJava/stargazers[71]
: https://github.com/HackJava/HackJava/network/members[72]
: https://starchart.cc/HackJava/HackJava
原文始发于微信公众号(利刃藏锋):【转】Java安全-只有Java安全才能拯救宇宙
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论