└── README.md


/README.md:
--------------------------------------------------------------------------------
  1 | # awesome-java-security-checklist
  2 | 
  3 | > 准备开java安全坑,把自己学习找到的相关资料分享出来总结一下,持续更新欢迎各位表哥star和提交新的内容支持一下，协助修正完善
  4 | 
  5 | > 资料均来自网上收集,如未标明作者有侵权行为,请及时联系h4x0er[at]secbug.org进行删除或修改。
  6 | 
  7 | > 喜欢请点 Star，如果不打算贡献，千万别 Fork，Fork后的版本不会自动同步更新最新的版本，你不会享受到最新版本给你带来的快乐和惊喜
  8 | 
  9 | ### Java学习
 10 | 
 11 | [后端架构师技术图谱](https://github.com/xingshaocheng/architect-awesome)
 12 | 
 13 | [《史上最简单的Spring Cloud教程源码》](https://github.com/forezp/SpringCloudLearning)
 14 | 
 15 | [Java 技术书籍大全](https://github.com/sorenduan/awesome-java-books)
 16 | 
 17 | ### 代码审计
 18 | [Java-Web-Security](https://github.com/dschadow/Java-Web-Security)
 19 | 
 20 | [java源代码静态代码分析和危险函数识别](https://github.com/Cryin/JavaID)
 21 | 
 22 | [攻击JavaWeb应用1-9【JavaWeb安全系列】](https://xz.aliyun.com/t/1085) 
 23 | 
 24 | [java代码审计手书(一）](https://xz.aliyun.com/t/3358)
 25 | 
 26 | [java代码审计手书(二）](https://xz.aliyun.com/t/3372)
 27 | 
 28 | [java代码审计手书(三）](https://xz.aliyun.com/t/3416)
 29 | 
 30 | [java代码审计手书(四）](https://xz.aliyun.com/t/3460)
 31 | 
 32 | [Java反序列化漏洞从入门到深入](https://xz.aliyun.com/t/2041)
 33 | 
 34 | [Java反序列化备忘录](https://xz.aliyun.com/t/2042)
 35 | 
 36 | [Java反序列化漏洞之殇](https://xz.aliyun.com/t/2043)
 37 | 
 38 | [JAVA中常见数据库操作API](https://xz.aliyun.com/t/1634)
 39 | 
 40 | [JAVA代码审计的一些Tips(附脚本)](https://xz.aliyun.com/t/1633)
 41 | 
 42 | [JAVA代码审计之XXE与SSRF](https://xz.aliyun.com/t/2761)
 43 | 
 44 | 
 45 | #### Struts2
 46 | 
 47 | [作为武器的CVE-2018-11776：绕过Apache Struts 2.5.16 OGNL 沙箱](https://xz.aliyun.com/t/3395)
 48 | 
 49 | [在我们的Struts代码中-深入审计java漏洞](https://xz.aliyun.com/t/3144)
 50 | 
 51 | 
 52 | ### 代码审计工具
 53 | 
 54 | [Fortify SCA](https://www.microfocus.com/en-us/products/static-code-analysis-sast/overview)
 55 | 
 56 | [Checkmarx](https://www.checkmarx.com/)
 57 | 
 58 | [findbugs](http://findbugs.sourceforge.net/)
 59 | 
 60 | [find-sec-bugs](https://github.com/find-sec-bugs/find-sec-bugs)
 61 | 
 62 | [cobra](https://github.com/WhaleShark-Team/cobra)
 63 | 
 64 | [sonarqube](https://github.com/SonarSource/sonarqube)
 65 | 
 66 | [PMD](https://maven.apache.org/plugins/maven-pmd-plugin/)
 67 | 
 68 | [appsensor](https://github.com/jtmelton/appsensor)
 69 | 
 70 | [Mobile-Security-Framework-MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF)
 71 | 
 72 | [List of tools for static code analysis](https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis#Java)
 73 | 
 74 | 
 75 | ### 第三方组件安全扫描
 76 | 
 77 | [DependencyCheck](https://github.com/jeremylong/DependencyCheck)
 78 | 
 79 | ### 修复方法
 80 | 
 81 | [java各种漏洞风险具体修复方案](https://github.com/wooyunwang/Fortify)
 82 | 
 83 | [web安全开发参考手册](https://www.maniac.vip/2017/08/web%E5%AE%89%E5%85%A8%E5%BC%80%E5%8F%91%E6%89%8B%E5%86%8C.html)
 84 | 
 85 | [JDK解决反序列化的方法](https://xz.aliyun.com/t/3210)
 86 | 
 87 | [Java常见通用漏洞和修复的代码以及利用payload](https://github.com/JoyChou93/java-sec-code)
 88 | 
 89 | ### 安全设计
 90 | 
 91 | [金融科技SDL安全设计checklist](https://xz.aliyun.com/t/2089)
 92 | 
 93 | [SDL软件安全设计初窥](https://xz.aliyun.com/t/226)
 94 | 
 95 | [移动APP安全与SDL](https://xz.aliyun.com/t/1185)
 96 | 
 97 | [开发安全的API所需要核对的清单](https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md)
 98 | 
 99 | [一组匹配中国大陆手机号码的正则表达式](https://github.com/VincentSit/ChinaMobilePhoneNumberRegex)
100 | 
101 | [正则表达式安全备忘单](https://github.com/attackercan/regexp-security-cheatsheet)
102 | 
103 | [验证码设计](https://github.com/Hibear/verify)
104 | 
105 | [实用性开发人员安全须知](https://github.com/FallibleInc/security-guide-for-developers)
106 | 
107 | #### 威胁建模
108 | 
109 | [威胁建模介绍](https://xz.aliyun.com/t/2061)
110 | 
111 | ### 安全框架
112 | 
113 | [apache-shiro](http://shiro.apache.org/)
114 | 
115 | [spring-security](https://github.com/spring-projects/spring-security)
116 | 
117 | [spring-security-oauth](https://github.com/spring-projects/spring-security-oauth)
118 | 
119 | [js-xss](https://github.com/leizongmin/js-xss)
120 | 
121 | [ESAPI-JAVA](https://github.com/ESAPI/esapi-java-legacy)
122 | 
123 | [openrasp](https://github.com/baidu/openrasp)
124 | 
125 | [Java软Waf框架](https://xz.aliyun.com/t/513)
126 | 
127 | 
128 | ### 代码规范
129 | 
130 | [《阿里巴巴Java开发手册v1.2.0》](https://xz.aliyun.com/t/1131)
131 | 
132 | [唯品会Java开发手册【参考阿里Java开发手册】](https://github.com/DarLiner/vjtools)
133 | 
134 | 
135 | ### 相关网站推荐
136 | 
137 | 先知社区：https://xz.aliyun.com/
138 | 
139 | 漏洞时代: http://0day5.com/
140 | 
141 | 知道创宇paper:https://paper.seebug.org/
142 | 
143 | securitypaper：https://www.securitypaper.org/
144 | 
145 | 开源安全架构:https://bloodzer0.github.io/ossa/
146 | 
147 | 
148 | ### 书籍推荐
149 | 
150 | #### 基础
151 | 
152 | · 《Java核心技术》【美】Cay S.Horstmann；Gary Cornell，入门书籍
153 | 
154 | · 《Java 编程思想》【美】Bruce eckel，进阶书籍
155 | 
156 | #### 审计
157 | 
158 | · 《安全编程代码静态分析》【美】Brian Checss/Jacob West
159 | 
160 | #### 设计
161 | 
162 | · 《需求设计：构建用户想要和需求的产品》【英】克里斯.布里顿
163 | 
164 | · 《威胁建模：设计和交互更安全的软件》【美】Adam Shostack
165 | 
166 | #### 架构
167 | 
168 | · 《架构整洁之道》【美】Robert C.Martin
169 | 
170 | · 《架构即未来》【美】MartinL.Abbott
171 | 
172 | #### 持续交互
173 | 
174 | · 《DevOps实践指南》【美】Gene Kim/Jez Humbie/Patrick Debois/John Wills
175 | 
176 | · 《持续交互2.0 业务引领的DevOps精要》乔梁
177 | 
178 | #### 产品
179 | 
180 | · 《人人都是产品经理》苏杰
181 | 
182 | #### 其他
183 | 
184 | · 《编程高手箴言》梁肇新
185 | 
186 | · 《代码整洁之道》【美】Robert C.Martin
187 | 
188 | · 《代码大全》【美】Steve McConnell
189 | ### 感谢以下人员的贡献
190 | 
191 | [@Weiho](http://github.com/zhaoweiho)
192 | 


--------------------------------------------------------------------------------