- Java代码审计(入门篇)
- 徐焱主编
- 818字
- 2024-11-28 18:03:50
推荐序3
代码审计,从根本意义上来说就是挖掘源程序中存在的代码安全问题,我们团队中还有一部分人也做着一个相似的工作—漏洞fuzzing技术。但代码审计与漏洞 fuzzing 技术又有很大的不同,当前的漏洞 fuzzing 技术依旧存在着很多困难,对于逻辑漏洞、配置漏洞等识别较为困难,另外和人工挖掘相比,漏洞 fuzzing还存在花费时间长,效率较低等问题,这也正是代码审计的优势所在。
通过这些年的学术研究和网络空间安全从业者水平调研,我能够清晰地感觉到,伴随着国内网络空间安全技术的发展,最初的一些只会使用黑客工具的“脚本小子”逐渐被能够进行代码分析、编写脚本的专业安全人员所代替。可以说,一个优秀的安全人员,必须要懂编程。但是懂编程仅仅是第一步,懂编程的人不胜其数,但将编程能力演变成代码审计能力,并且利用代码审计能力去挖掘漏洞的人却少之又少。代码审计是一门技术活,而对于Java 代码审计来说,又因为 Java 语言的多样性,导致 Java 审计技术难度更大,在市面上也很少能够看到系统性的Java代码审计的教程。
对于想要迈入 Java 代码审计的人来说,这本书是一份很好的教材,本书对 Java 代码审计中的各个漏洞点进行了详细剖析,对 Java 代码审计的关键知识点进行了总结,并且通过实战的方式告诉你,Java 代码审计应该是什么样的流程。
攻与防犹如盾与矛,盾刚则矛折,矛硬则盾破,对于攻击方来说,这本书能够让你学到Java 代码审计的原理知识、审计流程以及审计技巧,可以给你的“矛”增加硬度;对于防守方来说,这本书可以让你学到 Java Web 漏洞产生的原因、攻击方角度审视代码安全以及各类漏洞的修复方式,可以给你的“盾”增加刚性。
雏凤清于老凤声,希望年轻的读者能够通过这本年轻人写的书对于代码审计知其然,并知其所以然,擅于发散自己的思维,深刻去了解什么是“安全”,也希望本书的读者为中国网络空间安全贡献一份力!
丁勇
教育部网络空间安全教学指导委员会委员
广西高层次人才 E 层次人才
民盟中央青年委员会委员
鹏城实验室兼职教授
科技部重点研发会评专家
PPNA期刊副主编
环球时报大数据中心特聘专家