问:老师您好,我现在是一名软件工程大三在校生,现在对网络安全比较感兴趣,也想将网络安全作为自己的学习方向,同时我也想了解有关代码审计的一些问题,现在的自己有一定的代码基础,对于java代码审计,更应该注重培养哪一方面的能力?我想找准方向,为以后打好基础,希望可以得到您的解答,谢谢老师!
答:同学你好,现在网络安全是一个比较热门的方向,很高兴同学能够对网络安全产生兴趣。对于java代码审计,我认为最关键的是培养自己的代码阅读能力、对漏洞的理解能力以及从实践中总结经验的能力。代码阅读能力是最基础的能力,如果代码都阅读不懂,又谈何说起审计呢?而代码阅读就要求我们去掌握这门语言的语法、一些框架的用途以及这门语言本身可能会产生的漏洞,要对历史漏洞也要有所了解和掌握,其次对漏洞的理解能力,漏洞理解就是对漏洞的原理、利用和修复,能够了然于胸,能够深层次的了解这些漏洞,比如一个简单的 XSS 漏洞,可能出现的场景有哪些?利用方式分为多少类型?审计的关键点在哪里?这些都需要去学习和了解的,《Java代码审计》可能会对你有所帮助。最后是从实践中总结经验的能力,就是说举一反三的能力,比如现在流行的异构漏洞,也是总结出来的,希望对你有所帮助!
问:老师您好,最近在学习渗透测试方向,针对kali系统上的一些软件使用,有没有系统学习的地方,目前网上查到的都不是很详细,还有一个问题就是如何做好一个企业级的渗透测试人员?
答:同学你好,渗透测试的范围很广,kali 仅仅是渗透测试中的一项利用工具集合而已,并且在 kali 中利用到的工具往往就是固定的常用的几种,我更建议的是去了解核心工具的用法、这些核心工具的原理,至于其他不常用的工具,实际上可能有更好的代替攻击,所以导致了其不经常被使用,做好一个企业级的渗透测试,首先要掌握的是最基本的渗透测试知识,《Web安全攻防:渗透测试实战指南》这本书可以参考 ,其次,还需要大量的实际经验,但是由于目前安全法的实施,不能在未取得授权的情况下进行渗透,因此可以考虑诸如挖src、vulhub 虚拟环境等方式来锻炼自己的能力,最后如果满足oscp等报名条件,可以尝试去考一个oscp证书。
问:您好,请问一下对于开发来说,您认为Java代码审计中有哪些不得不学或者说学了之后能写出更安全的Java代码的东西,就是说有无一些对于开发来说非常实用的安全常识。
答:《Java代码审计》这本书当初的定位面向的人群其实有两种,第一个是想学习java 代码审计的新人,第二个是具有开发经验,但是没有安全开发意思的开发人员。我认为在Java代码审计中,一些安全编码的处理、业务逻辑的安全、 java常见漏洞的写法,以及这种漏洞产生的原因,了解这些后,要在你写代码的时候会下意识的考虑你写的代码是否存在这些问题,这样对你的安全开发能力会有很大的提升。
问:Java代码安全和漏洞扫描这种工作是在项目什么阶段开始比较好?Java代码审计的工具非常之多,怎么组合使用?
答:Java代码安全和漏洞扫描肯定是要在项目本身的代码完成后,才可以进行的,一种说法是漏洞属于测试的一部分,因此这两个工作属于测试阶段的功能。Java代码审计的工具商业的、开源的和扫描器相比其实也不是很多,加上准确率高、效率高的就更少了,所以Java代码审计的工具实际上始终要配合人工复现,人工测试才可以得出一个最终的报告,工具能够起到的是辅助作用,掌握代码审计的知识才是关键,这也是《Java代码审计》这本书写出来的原因。
问:问下老师在企业中代码审计这个岗位如果设置的话,需要哪些考核标准?还有从业基本知识有哪些?
答:一般都是Java程序员兼职做的,这个岗位都是研发的同事做,毕竟要改代码的,测试也可以兼职,把错误和工具扫描得到的漏洞上报给研发修改, 测试并多次用工具扫描。
问:您好,java代码审计中,除了findDebugs这种查找bug的插件,像我这样以开发业务为主的程序员需要掌握哪些知识呢?
答:业务开发的话,掌握一些OWASP常见漏洞的漏洞原理,熟悉这些可以在Coding时期就减少这类漏洞出现的概率,然后就是注意业务逻辑不要出问题,web应用漏洞中业务逻辑漏洞占了相当高的比例,所以是需要特别注意的点。
问:代码检查工具一直使用findbugs现在spotbugs,它是在字节码层面检查,阿里的代码规约检查似乎是在源码层面的检查,另外感觉这两个工具对程序错误和程序规范,比较重视, 对代码安全漏洞方面不是重点。
答:日常针对项目的代码审计的话,目前市面上比较好用的和知名度较高的就是fortify了,fortify是基于源码,针对源码进行语义分析来审计的,但是再好的代码审计工具误爆率也是很高的,所以搭配人工审计也是很重要的。
问:老师好,我们日常业务中,主要是企业信息化系统建设,软件系统基本都是部署在企业内网,使用人员也主要是企业内部人员。因此,对软件的安全性要求并不是特别高,所以, 之前基本也就忽视了这些。最近,一个公共查询类的项目是要发布到外网使用的,结果就被反渗透检测到了很多的安全漏洞,致使公司近期非常重视软件系统的安全问题。希望老师能给一个大概的思路,如何在日常的软件开发过程中,去处理这些安全问题?
答:建议买《Java代码审计》这本书看看,或者看一下这个目录里推荐的工具,挨个下载使用一下,BurpSuite,SwitchyOmega,APPSCAN,DIRBUSTER,惠普WEBINSPECT,可以先用一下这些工具,再过去送检?
我们在OSCHINA有一期高手问答,欢迎大家一起来探讨关于Java代码审计相关的问题!
Java代码审计 第2期班 开班~
上课时间
周三:20:00-22:00
周日:14:00-16:00
如果无法准时参加直播,在线培训的每节课程都会被录制成视频上传到学员区,可随时下载观看。
课程费用
每期班定价4999,双十一惊爆价3699,
前30名加入均送JAVA审计知识星球资格(价值499元);
凡是MS08067旗下任意星球学员或其他培训课程学员,可享内部价3499;
每个报名学员都享受一次免费的重听后续任意一期权益,一次没学懂就再来一遍。
请有意参加培训的学员抓紧报名!支持信用卡、花呗分期(可开票)
学习方式
讲师介绍
讲师B:某乙方安全研究员,主攻Java安全研究和主机安全领域,曾在多个沙龙上进行技术分享,在安全客/先知等平台发表过高质量文章
讲师C:某安全公司安全研究员
小姐姐,主攻Java安全研究,擅长代码审计,安全开发,曾在freebuf、paper多个平台发表过高质量文章团队出品了国内第一本JAVA代码审计图书 -《Java代码审计:入门篇》购买链接:https://item.jd.com/10033832360716.html
全新课程目录2.0
你距离审计大佬,只差一个决定
详情咨询请联系小客服
如何提前预习
为更顺利的完成课程相关内容,请同学一定要提前预习相关知识点,已经报名的同学,请阅读实验室出版的《JAVA代码审计:入门篇》一书,并且在赠送的“JAVA审计星球”中学习相关的内容。
直播培训和知识星球的区别
从内容上来讲,知识星球的定位是图书的部分配套技术视频讲解。而直播培训内容是在此基础上一整套全新的课程体系,强化了JAVA基础,漏洞覆盖面也更全跟更详细、进阶干货内容更加深入、开源组件漏洞分析案例也更多等,总之有本质的区别。
从形式来看,知识星球是一个类似论坛版块的形式,更有利于圈子的交流,我们提供的视频教程需要你去下载、去看、去练才能学会,买了如果不下载、下载回来如果不看、看了如果不练那还是没有用。那直播培训的目标是让您学会,而不是仅仅给您一堆视频教程去看,我们会布置作业,会有批改,会有现场解答,更系统的小班辅导,这也是我们每期限定人数的原因。
我们非常珍惜读者对MS08067的信任,我们希望可以做小而精的高质量在线培训,如果我们去投广告宣传做大后就会变质,在这里每个报名学员都可以享受免费的重听权益,一次没学懂就再来一遍,实际工作中碰到问题,那就带着问题再来重听一遍。
为什么选择MS08067直播培训
MS08067近年来在安全界的口碑还是有目共睹的,特别是对信安感兴趣的学生、爱好者做了些有意义的事情,是真心实意的为读者,绝无半点虚假,做星球的初衷也是为了满足读者对于图书配套视频的需求,不像一些培训把心思花在宣传、花在“卖教程”上,实验室4年出版了5本原创图书就可以看出我们的初心和技术能力。
此次培训围绕红队攻击中的实战应用,重点突出实战、干货、思路、深度。负责讲解的老师也是MS08067的资深核心骨干成员,拥有多年的实战工作经验,让您所学的技术可以在企业中真正用得上。
很多读者跟我反映过开始都是看视频、看书自学,但是一旦遇到实验报错就没法解决,遇到不懂的技术点也没人解答,本应该重点掌握的技术也没有掌握,100%的初学者都会或多或少的走些弯路,学了1-2年还是效率低、进步慢,有的甚至就放弃了信安这个行业,学习信安要有圈子,也要有方法,自学当然没有问题,但该花的钱一分也不能少花。
最后再说下现在的信安培训也是鱼龙混杂,有很多挂羊头卖狗肉的也有很多商业化很成熟的机构,我们只希望做自己、多出书,然后做些小而精的培训,仅此而已。
福利:
攻防训练平台100个免费邀请码
朋友圈转发本文后,点击下方公众号或微信搜索“Ms08067安全服务”公众号,点击关注并回复“双11邀请码”,即可获取平台注册邀请码。获取邀请码后请尽快完成注册信息填写,人满截止。
平台官网:bachang.ms08067.com
扫描下方二维码加入星球学习
加入后邀请你进入内部微信群,内部微信群永久有效!
如有侵权请联系:admin#unsafe.sh