Java安全漫谈 - 『代码审计』知识星球

《Java安全漫谈》是社区从2019年7月开始连载的系列文章，这个系列主要讲的是作者对Java安全的一些理解，虽然不是权威理解，但会讲到大部分作者认为2020年代系统性学习Java安全必备的知识。

本系列已经以及日后可能涉及到的知识点：

相比于已有的一些书籍或教程，《Java安全漫谈》系列的特点是：

《Java安全漫谈》内核是真正的Java安全，而非Web安全

网上一些Java安全总结向的书籍或文章会容易陷入一个死胡同，就是读着读着发现大部分内容是Web安全范畴。

比如，有的教程大部分内容是讲SQL注入、文件上传、XSS等通用Web漏洞，每种编程语言里实际原理大同小异，不具备Java特色；再比如讲SQL注入，漏洞原理与利用就占大部分篇幅，然后会涉及一些Java中SQL操作函数与修复方法。

这样的文章虽说不能说是错误的，但总有点挂羊皮卖狗肉的意思，实际上是依托Java这门语言在讲Web安全，并非在讲Java安全本身。

《Java安全漫谈》是作者自身的理解，而非漏洞或源码的讲解

网上有的Java安全相关文章是对漏洞或开源工具源码的讲解，照本宣科，缺少作者自己的思考过程。以反序列化利用链为例，很多文章仅是对ysoserial中利用链代码的逐行说明与复现。

相比起来，《Java安全漫谈》中有大量对ysoserial中利用链原理的介绍，代码的简化与修改，实际是作者理解了原理后重新编写的利用链代码，而非对原代码的简单讲解。

《Java安全漫谈》所有内容依托代码与实验得出，并非纸上谈兵

作者在文章中涉及的每一个知识点，都会进行实际代码复现，并且大部分能在Github中给出具体代码，读者可以自行实验。

因为有实验作为基础，本系列中涉及到大量互联网上尚未公开传播的一些技术细节，比如某某类在JDK某某版本中会失效、Java官方为什么对某某机制进行修改等。这些细节在大部分情况下可能并不重要，但是有时会让你少踩很多坑，也能解答你的不少疑惑

《Java安全漫谈》配套代码Githu地址：https://github.com/phith0n/JavaThings