JAVA安全|即将开启：java安全系列文章

前言

作为一只web狗，越发觉得随着安全行业的发展，对于传统web安全狗、脚本小子越来越不友好了，需要熟练掌握一两门编程语言，对某一方向有深入研究来傍身。说白了，就是现在的行业趋势要求我们做一个有技术深度的白帽子，以前不懂原理光拿着工具去扫也能扫一堆洞的时代已经一去不复返了。

一、我为什么会开启java安全系列文章？

1.JAVA天下第一

现在php已经逐渐落寞，python作为后起之秀应用也还比较少，而java应用是越来越多，网站开发、大数据、app开发等基本也都是java，我们用的漏洞利用工具也多是java开发，火热的远控工具CobaltStrike也是java开发，近两年爆出的关于java的漏洞也越来越多......，一句话来说就是夹娃牛逼，夹娃天下第一（狗头）。

2.掌握JAVA编程，会JAVA开发

小编之前也学过点java，但苦于没项目，本身也不是搞开发的，所以学了不用，很快就忘记了，开启这一篇章也是为了回顾之前学过的java知识，构建自己的java知识体系，并实际地将java用起来，达到熟练掌握java编程，并能用java写工具、魔改一些优秀工具的目的。

3.给自己多条路走

渗透是越来越卷，而且很吃经验，哪天要是卷不动了，也可以换别的方向走。在安全圈里混技术，懂编程、懂开发、懂java会比较有竞争力（狗头）

4.给公众号涨粉

作为一个小公众号主，小编也很希望自己公众号能多点关注量，这样才有继续做公众号的动力。前段时间蹭了国HVV热度，从两三百的关注量一下涨到了1100+，在此感谢各位师傅关注和支持。为了感谢各位师傅，本号决定出一系列技术干文来回馈大家~

二、对系列文章的构思

目前给系列文章初步定的内容如下：

重要部分：1.由不安全的反序列化造成的RCE漏洞（shiro,fastjson, spring,strusts2,weblogic,jboss等组件、框架、中间件）2.ysoserial工具各反序列化链分析3.jndi注入攻击4.优秀利用工具源码分析次要：jwt安全次次要：sql注入，xss，未授权等传统web漏洞

初定具体安排如下：

篇章不是一个一个往下的，而是穿插着的，不是把上个篇章的写完才开始写下个篇章的，比如写完log4j2，要写fastjson前，会跳到ysoserial的一些利用链分析，才会去写fastjson（这里为什么会先写log4j2呢？因为log4j2就是JNDI注入攻击，而fastjson的利用包含反序列化链和JNDI注入）；写内存马时，会跳到基础把反射和tomcat详细讲了再开始学内存马。

对工具分析篇的设想是去分析工具的代码实现逻辑，学习开发者的开发思路和代码实现逻辑，这一部分可能会是最后才完成的，因为涉及开发，本人很菜，需要慢慢磨。

针对构思，会在写作时根据实际情况做出调整，如果各位师傅有什么好的建议欢迎提出来呀~

三、一些资料推荐