Java代码审计-Struts2全系列漏洞精讲（持续更新）

课程声明：该课程是教学使用，视频内涉及漏洞利用方法，请勿在互联网环境中使用；维护互联网安全，人人有责。

前置课程：

《Java代码审计知识框架》

https://edu.51cto.com/course/34957.html

《Java代码审计（JavaWeb核心技术）》

https://edu.51cto.com/course/34956.html

JAVA漏洞的审计远远不止调试漏洞那么简单！！！

难道我们所谓的分析漏洞就是搭建好环境，debug代码发现某个函数没过滤造成了SQL注入、命令执行等漏洞就结束了吗？

我相信大家学习代码审计的目的肯定是希望能够有一天挖到属于自己的0Day，但仅仅debug代码是远远不够的。

我们要debug漏洞，但更要分析漏洞所在的框架，深入了解这些内容：

1、框架的基本使用方法

2、框架的运行模式

3、框架的设计思想（设计模式）

4、框架的独有的特性分析

5、漏洞debug

假设有2个同学同时分析Struts2框架的漏洞，A同学调试完发现是OGNL表达式漏洞就结束了；但B同学却可以通过分析漏洞，结合自己对Struts2的了解发现了新的漏洞。

显然B同学的结果是我们想要的。所以你必须要具备这些能力：

1、扎实的代码基础

2、足够的代码书写量和代码阅读量（尤其是阅读优秀框架源码）

3、设计模式在JAVA语言中的应用

4、独自分析框架的能力

只有具备这些基础后才能够对漏洞分析、代码审计有更深层次的认知。

我的JAVA代码审计系列课程以此为目标，希望可以能够帮助大家升级对JAVA代码审计的能力和认知。

更新日志

2023-12-05更新

Struts2依赖注入的基本概念

Struts2依赖注入实现原理

Struts2对构造器的缓存过程

Struts2的缓存机制

从依赖注入的视⻆观察Struts2项目的初始化

补充内容

2023-12-16更新

Struts2-010漏洞描述

Struts2-010-Token生成与验证的原理

Struts2-010漏洞原理

Struts2-010补丁分析

2023-12-30更新

Struts2-066漏洞描述

Struts2-066漏洞分析前置知识

Struts2-066漏洞分析

2024-01-07更新

Struts2-020漏洞描述

Struts2-020前置知识

Struts2-020实现Tomcat7任意文件读取

Struts2-020实现Tomcat7getShell

Struts2-020远程RCE原理

Struts2-020-Tomcat8拿webshell

Struts2-020-CookieInterceptor漏洞原理

Struts2-021漏洞分析

Struts2-022漏洞分析

2024-01-25更新

Struts2-026漏洞分析

Struts2-027漏洞分析

Struts2-027绕过补丁

Struts2-029漏洞分析

Struts2-031漏洞分析

Struts2-031漏洞描述

2024-02-25更新

01-Struts2-032漏洞原理

02-Struts2-032漏洞补丁分析

01-Struts2-033-Rest插件的使用

02-Struts2-033第一个漏洞点

03-Struts2-033第二个漏洞点与补丁分析

04-Struts2-037漏洞分析

01-Struts2-042漏洞介绍

02-Struts2-042第一种漏洞利用方法

03-Struts2-042第二种漏洞利用方法以及补丁分析

01-Struts2-045漏洞介绍

02-Struts2-045漏洞原理分析（上）

03-Struts2-045漏洞原理分析（中）

04-Struts2-045漏洞原理分析（下）