从1开始的Java代码审计·序

小组经常有小伙伴问我Java该怎么审计，其实我也挺头大的。因为我觉得审Java的代码和审PHP的代码，相差不大。WEB 漏洞就那些，只是换了门语言实现而已，只要漏洞原理知道了，审起来是很容易的。

很多学安全的同学，应该是从PHP入门的。PHP作为一门脚本语言，跨平台、语法简单、易上手、开源框架多、用户量大。但是，PHP语言本身的特性，它在后期的拓展和维护困难，而且支持所有漏洞（抖个机灵）。很多对系统稳定性、安全性要求较高的厂商不太会去选择PHP，而是Java或者别的语言。

Java是纯正的面向对象的语言，适合团队协作开发，重构、维护相对轻松，语言生态好，且在高性能、高并发、分布式的场景吊打某语言。（虽然PHP也是支持面向对象的写法，不过身边真的在用面向对象的方法写PHP的同学真的很少，可能是不太理解面向对象的概念，也可能是因为写起来代码太长了？）

目前，网上关于 WEB 代码审计的文章很多都是PHP的，和Java相关的很少，而且质量一般。所以我打算做一个Java代码审计的系列，分享Java代码审计相关的小姿势。

在这个系列里，我假设每个读者都对 Java 和 WEB 安全方面的知识都有一定的了解，所以可能不会对漏洞的原理做很深的分析。

如果你觉得看起来有些累，或者对某个漏洞不理解，建议先去找些相关资料学习下。