摘要： 1.jdk安装：网上案例很多，主要注意jdk版本，有些poc要特点JDK版本。 2.docker容器编排：主要是docker的基本使用方法,vulhub的下载与安装 搜索镜像 docker search tomcat 拉取镜像 docker pull dordoka/tomcat 查看镜像 dock 阅读全文

摘要： 总的来说，这章基本没什么卵用。只是介绍了一些工具，但是也没说怎么用，看了之后基本不会掌握任何测试技巧 1.代码编辑器 Sublime:文本编辑器 IDEA: java IDE，反编译，动态调试，代码搜索，漏洞定位 Eclipse:java开发工具 2.测试工具 BurpSuite:你懂 Switch 阅读全文

摘要： 重点，代码审计的思路 1.接口排查：先找出从外部接口接收的参数，跟踪传递过程，观察是否有参数校验不严的变量传入高危方法中，传递过程是否有代码逻辑漏洞 2.危险方法溯源：检查敏感方法参数，参数的传递预处理，判断参数是否可控并且已经经过严格的过滤 3.功能点定向审计：判断应用常见漏洞，直接审计功能 4. 阅读全文