《Java代码审计实战》新书首发
近日,美创59号安全实验室又一研究成果《Java代码审计实战》出版发行,本书深度解析Java安全漏洞原理,系统讲述CodeQL工具的应用,拓展JavaWeb开发与安全防护的思路。
创作缘起
在数据成为新质生产力的今天,数据安全的战略价值已经毋庸赘述,然而在数据安全防护实践中,我们发现很多用户高度重视数据本身的安全防护,却往往忽视操控数据的业务应用安全风险,导致数据安全保护难以形成有效闭环。
基于美创二十年数据安全保护经验,我们深刻洞察数据与业务的紧密关联,数据安全防护无法脱离业务应用独立存在,唯有围绕数据、应用、身份等多维度基础因子构建“韧性”数据安全防护体系,方能真正做好数据安全。目前美创数据安全产品矩阵已相对全面地覆盖到数据全生命周期防护,其中数据库防火墙、API安全网关、诺亚防勒索等自研产品,均从应用风险层面创新数据安全防护思维并实现产品化落地。
代码审计作为应用风险检查的技术手段,是美创59号安全实验室日常研究和工作的必备能力之一,这本书也是美创科技作为数据安全头部厂商长期研发数据安全产品、提供安全服务积累的自然成果。
核心推荐理由
系统构建代码审计能力,从入门到实战全面覆盖
本书从Java基础环境搭建、漏洞原理分析、审计工具使用,到真实漏洞项目实战,全流程覆盖,让初学者系统掌握Java安全审计的完整技术路径。
融合CodeQL与实战经验,兼顾传统与前沿技术
在手工审计的基础上,引入了CodeQL这种现代化的自动化审计工具,并提供实战案例指导,帮助读者掌握更高效的审计方法。
覆盖主流框架与组件,贴近实际业务安全需求
深入分析了SSM、SSH、SpringBoot等常见框架,以及Fastjson等广泛使用的组件,让读者能够在真实业务系统中快速定位和修复漏洞。
适合开发、安全、测试多角色使用,提升安全意识与能力
无论是开发人员、渗透测试工程师、安全审计人员,还是测试工程师,都可以从中找到实用内容,提升对Java安全的整体理解和实践能力。
业界专家、安全大咖联袂力荐
本书是一部全面而实用的安全指南,专为开发者和网络安全工程师量身打造,系统介绍了代码审计的方法与实战经验。内容从基础环境搭建与调试技术起步,循序渐进地深入至漏洞分析与应对策略,全方位剖析Java代码中的安全风险。无论你是初入网络安全领域的新手,还是旨在提升专业技能的资深网络安全工程师,都能在本书中收获满满,受益匪浅。
—— 黑哥 知道创宇首席安全官 404实验室负责人
本书内容深度和实用性并重,系统介绍了Java代码审计的核心知识,从基础工具到典型漏洞分析,内容直观且有条理。对于开发者和网络安全从业者来说,本书不仅提供了有效的学习路径,还涵盖了手工审计以及CodeQL等自动化审计技术。通过深入浅出的讲解和丰富的案例,读者可以迅速掌握Java代码审计方法,提升自己在实际项目中的安全防护能力。推荐所有从事网络安全相关工作的技术人员细读本书,它将为你带来颇丰的收益。
——马多贺 博士,CISSP 中国科学院信息工程研究所副研究员 CCF杰出会员
本书循序渐进、由浅入深地引导读者学习Java代码审计知识,通过详细介绍具体工具及深入剖析漏洞案例,使读者能够从零开始,逐步掌握Java代码审计的核心技术和实用技巧。特别是本书对常见组件漏洞的深入分析及CMS实战案例的详尽讲解,不仅带领读者回顾了过去真实的漏洞事件,还让读者亲身体验了Java代码审计过程,有效提升实战能力。这是一本值得广为推荐的技术佳作,建议每位网络安全从业者细细品读并珍藏。
——程岩 蚂蚁集团网络安全副总经理
本书创作团队
柳遵梁
美创科技创始人、CEO
柳遵梁,美创科技创始人、CEO,全国工商联网络与数据安全委员会委员,中国网络安全产业联盟常务理事,中关村网络安全与信息化产业联盟理事,浙江省网络空间安全协会数据安全治理专委会主任兼秘书长。长期专注数据安全领域研究,韧性数据安全架构的提出者和实践者,对于数据安全产品化有深入理解,著有《内网渗透实战攻略》、《Oracle数据库性能优化方法论和最佳实践》等书籍。
59号安全实验室
美创科技59号安全实验室,建有余杭区首家“网络与信息安全管理员技能大师工作室”,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究,进行知识产权转化并赋能于产品。自2021年起,累计向 CNVD、CNNVD 等平台提报数千个高质量原创漏洞,并入选国家信息安全漏洞库(CNNVD)技术支撑单位(二级)、信创政务产品安全漏洞库支撑单位,团队申请发明专利二十余项,发表多篇科技论文,著有《数据安全实践指南》、《内网渗透实战攻略》等。
浙公网安备 33010502006954号 
