JavaSec Java安全系列

这里作为Java安全系列的提纲，总结在学Web安全的过程，在复现环境，调试代码加深对原理的理解

一、JavaWeb技术

java 在web系统的发展与应用

1. java servlet的应用与jsp技术：工程组织：即MVC思想

   javaweb/

   ​ - pojo/

   ​ - dao/

   ​ - servlets/

   ​ - filters/

   ​ - utils

2. SSH框架 ：Spring + Struts + Hibernate

3. SSM框架：Spring + SpringMVC + Mybatis

   Spring是一个容器框架，Struts与SpringMVC负责实现请求分发，Hibernate与Mybatis是JDBC的一个高层次的封装

4. SpringBoot：SpringSecurity

5. SpringCloud

二、web安全基础

1. SQLi注入利用、防御与绕过：包括SQL union注入利用，limit注入利用，绕过关键字利用等，SQL预编译过程原理，SQL预编译防御利用

2. XSS攻击利用、防御与绕过：CORS原理，CSP利用

3. SSRF

4. CSRF

5. XXE

6. 反序列化：java对象序列化，json,xml等反序列链利用

三、Java安全

《Java反序列化漏洞利用分析》

《JNDI注入利用分析》

《RMI注入利用分析》

《Jackson反序列化漏洞利用原理》

《Jackson反序列化漏洞复现》

《FastJson反序列化漏洞利用原理》

《Fastjson反序列化漏洞复现》

《Xstream反序列化漏洞利用原理》

《Dubbo反序列化漏洞利用原理》

《Java Agent技术研究》

《RASP 技术研究》

《Tomcat内存webshell分析》

TODO：研究Spring，SpringMVC，SpringBoot，Mybatis框架的漏洞与原理分析