0x00 前言

java代码审计相关文章整理，持续更新。

0x01 java环境基础

0x02 java语法知识

0x03 代码审计系列

攻击JavaWeb应用1-9[JavaWeb安全系列]

凌天实验室的代码审计系列（1-3）

java代码审计手书[1-4]

0x04 反序列化

• Java_JSON反序列化之殇_看雪安全开发者峰会
• 从反射链的构造看Java反序列漏洞
• Java反序列化漏洞从理解到实践
• Java 序列化与反序列化安全分析
• Java-Deserialization-Cheat-Sheet
• 如何攻击Java反序列化过程
• 深入理解JAVA反序列化漏洞
• Attacking Java Deserialization
• jackson反序列化详细分析
• Java安全之反序列化漏洞分析
• fastjson 反序列化漏洞 POC 分析
• Apache Commons Collections反序列化漏洞学习
• bit4师傅的从0开始学习反序列化
• Java反序列化漏洞之殇
• Java反序列化漏洞从入门到深入
• Java反序列化备忘录
• 先知java反序列化集合

0x05 安全编码集合

JAVA安全编码与代码审计

java-sec-code

0x06 漏洞分析

apache基金会

Adobe ColdFusion反序列化RCE漏洞分析(CVE-2019-7091)

Apache Solr RCE—【CVE-2019-0192】

Apache JMeter rmi 反序列化—【CVE-2018-1297】

Apache Solr XXE漏洞分析 -【CVE-2018-8026 】

Apache Tomcat安全绕过漏洞（CVE-2018-1305）

CVE-2017-12623 Apache NiFi xxe

Apache ActiveMQ Artemis 反序列化—【CVE-2016-4978】

Apache Fineract SQL Inject—【CVE-2017-5663】

Apache FOP-XXE—【CVE-2017-5661】

Apache Batik XXE—【CVE-2017-5662】

Apache Struts2 Freemarker标签远程执行漏洞分析和复现(S2-053)

Apache Synapse远程命令执行漏洞分析—【CVE-2017-15708】

Apache Tika 任意代码执行详细分析Poc—【CVE-2016-6809】

jenkins

jenkins 无限制 rce 分析

Jenkins RCE分析（CVE-2018-1000861分析）

Hacking Jenkins Part 1 - Play with Dynamic Routing

Hacking Jenkins Part 2 - Abusing Meta Programming for Unauthenticated RCE!

Spring Boot Actuator

Exploiting Spring Boot Actuators

Attack Spring Boot Actuator via jolokia Part 1

Attack Spring Boot Actuator via jolokia Part  2

Nexus Repository Manager 3

Nexus Repository Manager 3 远程代码执行漏洞 (CVE-2019-7238) 分析及利用

0x07 其他

• 关于 JNDI 注入
• 层层放大java审计的攻击面
• 以Java的视角来聊聊SQL注入
• 站在Java的视角，深度分析防不胜防的小偷——“XSS”
• 你的 Java web 配置安全吗？
• spring任意文件读取
• 在 Runtime.getRuntime().exec(String cmd) 中执行任意shell命令的几种方法
• ysoserial 分析系列
• sec-news集合
• sec-wiki集合
• 先知文章集合

0x08 参考博客

orangetw

iswin

xxlegend

chybeta

bit4

隐形人真忙

rui0

安全引擎

（不分排名）