Java代码审计 入门篇经典读后感有感
《Java代码审计 入门篇》是一本由徐焱 / 陈俊杰 / 李柯俊 / 章宇 / 蔡国宝著作,人民邮电出版社出版的453图书,本书定价:129.90元,页数:,特精心收集的读后感,希望对大家能有帮助。
《Java代码审计 入门篇》读后感(一):80%的水吧,
这本书水比较多,前四章列了一堆工具的安装说明,后面大概罗列了一些案例,水分也很多,有用些的就一些网址链接和工具, 说是入门也没有引导什么的,只是堆砌,各种截图,安装下载说明,内容也没什么关联性, 但这个类型书很少,,要想挖点东西出来还是比较费力的,安全这东西看着挺唬人,入门不是简单就行,安装说明书不是入门, 安全不是唬人,列几个唬人的案例名称就行。
《Java代码审计 入门篇》读后感(二):一本对网络安全领域来说很有意义的书
异步君给大家推荐一本由多名Ms08067实验室核心成员总结他们多年实战经验,共同编写的《Java代码审计(入门篇)》。这本书也不负众望,一经面世,便被称为“Java代码审计入门手册”、“Java代码审计初学者指南”、“掌握网络空间世界安全主动权的宝典”.....
其实,这些事故一般都是因为源代码存在漏洞,被黑客趁虚而入造成的。而想要一个没有漏洞的代码,代码审计便是最好的帮手。那么如何入门并学好代码审计呢?异步君建议你从徐焱主编的这本《Java代码审计(入门篇)》学起。
我们发现在不少Java开发人员身上有这样的痛点:“虽初具Web应用开发的安全意识,却仍存在‘面积较大的技术盲区’,并且暂未建立起代码审计与安全开发的知识、技术框架。”这本书通过核心章节帮助开发人员了解安全人员做Web漏洞挖掘时在想什么,并思考、绘制属于自己的Java安全知识、技能结构图,能知己知彼,百战不殆。
在本书编写过程中,遵从的主旨是“通过较详细的漏洞点剖析以及代码审计实战演示帮助读者朋友初步了解Java代码审计,夯实Java代码审计的基本功,并迈入Java代码审计的大门”。为此,对结构进行合理划分,帮助读者由“单点到代码全局”了解漏洞,并达到“从人门到适度提高”的学习目的。
本书所有内容依托代码与实验得出,例如:书中介绍了“OWASPTop 10 2017”十大Web应用程序安全风险列表中的典型Java代码审计案例(注入、失效的身份认证、敏感信息泄露、XML外部实体注人、失效的访问控制、安全配置错误、跨站脚本攻击、不安全的反序列化、使用含有已知漏洞组件以及不足的日志记录和监控)。此外,书中还介绍CSRF漏洞的原理和实例、SSRF漏洞的原理和实例、URL跳转与钓鱼漏洞讲解、文件包含漏洞讲解、文件上传讲解、文件下载讲解、文件写入讲解、文件解压讲解、Web后]讲解、逻辑漏洞讲解、CORS/SCP介绍、拒绝服务攻击原理和实例、点击劫持漏洞原理和实例、HPP漏洞介绍等知识点。
这本书由浅入深、全面、系统地介绍了Java代码审计的流程、Java Web漏洞产生的原理以及实战讲解,并力求语言通俗易懂、举例简单明了,便于读者阅读领会。同时结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的Java代码安全审计技巧。其中,通过视频讲解进行内容延伸,附以清晰直观的图片诠释内容,让学习变得更为轻松。
《Java代码审计 入门篇》读后感(三):Java代码审计入门手册、初学者指南
异步君给大家推荐一本由多名Ms08067实验室核心成员总结他们多年实战经验,共同编写的《Java代码审计(入门篇)》。
在这本书撰写之时国内市场还没有Java代码安全审计相关的技术图书,而这也是作者们撰写本书的出发点,希望能为网络安全行业贡献自己的微薄之力。用Ms08067实验室的话来描述便是“我们只做有意义的事情,市场空白我们来填补。”
总的来说,这是一本对网络安全领域来说很有意义的书!并且,这本书也不负众望,一经面世,便被称为“Java代码审计入门手册”、“Java代码审计初学者指南”、“掌握网络空间世界安全主动权的宝典”.....
在网络信息化不断发展的时代背景下,国内外各类网络安全事件层出不穷。比如:
2019年1月,拼多多被曝出现重大BUG,被黑灰产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利;
2021年3月,因为 Filecoin RPC 代码里面的一个 bug,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额,涉及460万美元;
2021年4月,黑客利用Facebook 同步联系人工具中的漏洞,曝光了5. 33 亿Facebook用户的个人数据,这些用户涉及 106 个国家和地区,泄露的信息包括用户在Facebook的账户名、位置、生日以及电子邮件地址等;
其实,这些事故一般都是因为源代码存在漏洞,被黑客趁虚而入造成的。而想要一个没有漏洞的代码,代码审计便是最好的帮手。那么如何入门并学好代码审计呢?异步君建议你从徐焱主编的这本《Java代码审计(入门篇)》学起。一本好书离不开优秀的作者、优质的内容,也不离开“用心”、“实用”的知识框架设置,力求让更多学习代码审计的人成功入门代码审计、爱上代码审计。
1、直击开发人员痛点
“谋定而后动,知止而有得",我们发现在不少Java开发人员身上有这样的痛点:“虽初具Web应用开发的安全意识,却仍存在‘面积较大的技术盲区’,并且暂未建立起代码审计与安全开发的知识、技术框架。”
对于此,这本系统地介绍Java代码安全审计人门技术的图书助力开发人员缓解这一痛点,通过核心章节帮助开发人员了解安全人员做Web漏洞挖掘时在想什么,并思考、绘制属于自己的Java安全知识、技能结构图,能知己知彼,百战不殆。
2、精心设置知识框架,夯实Java代码审计基本功
在本书编写过程中,遵从的主旨是“通过较详细的漏洞点剖析以及代码审计实战演示帮助读者朋友初步了解Java代码审计,夯实Java代码审计的基本功,并迈入Java代码审计的大门”。为此,对结构进行合理划分,帮助读者由“单点到代码全局”了解漏洞,并达到“从人门到适度提高”的学习目的。
3、拒绝纸上谈兵,通过大量的示例介绍代码审计的必备入门知识
本书所有内容依托代码与实验得出,并非纸上谈兵。例如,书中介绍了“OWASPTop 10 2017”十大Web应用程序安全风险列表中的典型Java代码审计案例(注入、失效的身份认证、敏感信息泄露、XML外部实体注人、失效的访问控制、安全配置错误、跨站脚本攻击、不安全的反序列化、使用含有已知漏洞组件以及不足的日志记录和监控)。这些案例可帮助读者在较短时间内理解并掌握高频漏洞的代码审计关键问题。
此外,书中还介绍CSRF漏洞的原理和实例、SSRF漏洞的原理和实例、URL跳转与钓鱼漏洞讲解、文件包含漏洞讲解、文件上传讲解、文件下载讲解、文件写入讲解、文件解压讲解、Web后]讲解、逻辑漏洞讲解、CORS/SCP介绍、拒绝服务攻击原理和实例、点击劫持漏洞原理和实例、HPP漏洞介绍等知识点。这些知识点能够帮助读者了解漏洞的形成原因,理解漏洞的利用方式以及漏洞修复方法。
4、视频讲解内容延伸,图文并茂轻松入门
这本书由浅入深、全面、系统地介绍了Java代码审计的流程、Java Web漏洞产生的原理以及实战讲解,并力求语言通俗易懂、举例简单明了,便于读者阅读领会。同时结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的Java代码安全审计技巧。其中,通过视频讲解进行内容延伸,附以清晰直观的图片诠释内容,让学习变得更为轻松。
这本书的好从“黑客防线”栏目创始人,“黑客X档案”、“黑客手册”创始人部分土豆进城对本书的评价便可一窥:“读完该书部分章节, 我觉得,写得很好很全很专业,做为一名编辑,我懂一本书它为什么好,从行文严谨度、知识点密度、引导铺垫方式这些维度,我觉得这本书的人机界面是友好的,它具有能把一名读者由浅人深循循善诱渐引入门的能力。”