菜狗安全《代码审计培训》：手把手0day挖掘教学（2025） - 发财猫的IT仓库

#长期有效 #超级推荐 --- ## 优惠 **课程目前价格1299，小猫介绍专属福利，报名提小猫名字优惠150(不可与其它活动叠加)** <p align="center"> <span style=" background: linear-gradient(to right, rgb(64,49,76) 0%, rgb(76,35,45) 100%); color: white; font-weight: bold; padding: 6px 12px; border-radius: 6px; "> 报名成功后截图报名记录，还可以找小猫领取红包哦 </span> </p> --- [官方介绍点我直达](https://mp.weixin.qq.com/s/DYGRHxc8KrogL1zFvoFPZg) --- ## 公开课福利可前往哔哩哔哩观看 **《JAVA代码审计实战》**[https://www.bilibili.com/video/BV1S26hYVECn?spm_id_from=333.1387.0.0](https://www.bilibili.com/video/BV1S26hYVECn?spm_id_from=333.1387.0.0) **《PHP代码审计速成》**[https://www.bilibili.com/video/BV1mWLmzKEfz?spm_id_from=333.1387.0.0](https://www.bilibili.com/video/BV1mWLmzKEfz?spm_id_from=333.1387.0.0) **《实战源码审计》[https://www.bilibili.com/video/BV1Y4VEz9EcA?spm_id_from=333.1387.0.0](https://www.bilibili.com/video/BV1Y4VEz9EcA/?spm_id_from=333.1387.0.0)** --- ## 菜狗师傅微信(报名提小猫名字) ![image.png](https://kb.fcmit.cc/media/202510/9d678b897af54444ba29f41fb6f467ef6754.png) --- ## **第一期JAVA专题课表** ![1.webp](https://kb.fcmit.cc/media/202510/1560bc7173b04df4ade6e380f5a56fab3508.webp) --- ## 课程介绍 ### **1、基础篇** - **漏洞的本质** - **审计审计，我们审计的主要是漏洞，那么对于漏洞的理解就显得尤为重要，从漏洞产生的本质出发，理解漏洞，吃透漏洞，会大大提升对于不同类型漏洞的审计关注点，大大提升审计效率** - **JAVA《代码审计方法论》** - **基于一期公开课的全新代码审计方法论，形成大体的审计架构，随着课程的深入，一点点补全** - **JAVA项目路由与参数传递** - **tomcat项目与Spring Boot路由构造与参数传递** - **JAVAweb开发** - **这一块内容是分割在每节漏洞审计的前置部分，不同于市面上的常规开发课程，通过实际业务分析漏洞产生原因，在实战案例前就学会如何挖漏洞！！！** ### **2、鉴权分析** - **讲解java项目中常见的鉴权方法** - **框架与自写鉴权的审计关注点** - **以及实战如何绕过鉴权** ### **3、常见漏洞审计** - **SQL注入挖掘** - **文件操作类挖掘** - **模板注入审计** - **组件安全审计** - **反射详解与不安全反射实战审计** - **越权类挖掘** - **SSRF审计** - **XXE审计** - **XSS审计** - **CSRF审计** - **逻辑类漏洞挖掘** - **RCE审计篇** ### **4、审计番外内容** - **自动化审计实现详解与工具模型开发** - **自动化审计工具&&项目推荐** - **CVE/CNVD编号的刷取与报告提交** - **在野1day快速分析挖掘** - **如何通过1day速挖0day** - ...... **这里番外内容会根据学员需求和后面想法增加** **CVE是应部分师傅要求加上的，本来不太想说这个，因为太简单的了，只要把前面的内容学完，CVE/CNVD花时间就能拿，会讲一下如何刷CVE编号，月入50+，亲测有效，拿到手软(CNVD等同理)，这些玩意在我这跟大白菜一样，我自己都懒得写报告提交，都是丢给学员，目前大部分学员也都有CVE/CNVD编号了，有的也下证书了** ### **5、企业源码审计实战** **选取国内某OA，某ERP，某管理系统，等企业级源码，甚至是我实战中遇到的企业泄露源码(脱敏处理后的)，从反编译->项目架构分析->鉴权分析->漏洞审计的完整流程，并且每节都有0day挖掘案例，手把手教学，避免一看就会，一上手就废。** **什么10+套源码还不够？好好好，那还能咋办，自己的学员自己宠呗，这个模块后续会变成长期模块，课程中结束后，依旧会不定期更新** ### 6、APT实战部分 **等等？不是代码审计课程吗，咋还有这个？这个是学员反馈增加的，目前很多学员是开发转安全，还有部分是学安全没多久实战比较差的，那么这一块刚好是我的老本行，虽然说自己也不算牛，但也不算太差。这个模块会将渗透与代码审计结合，从代码的角度看待网站目标内容以打点为主，其中包括不限于：目标资产搜集与系统分析源码识别与源码获取JAVA系统的前台漏洞挖掘...整个教学过程都会秉承如下思路：做什么？怎么做？做的意义是什么？真正意义上让师傅们学习理解每一步，这个模块的思路通用于渗透测试，SRC，实战攻防等等** ### **7、JAVA安全** - **SPEL表达式注入** - **模板注入原理分析** - **反序列化系列** - **反序列化基础，CC链1-7、CB链分析，改链手搓新链** - **常见组件漏洞原理分析** - **Shiro、FastJSON、Log4j2等组件漏洞原理分析** - **内存🐎技术分析** - **传统tomcat内存🐎、springboot内存🐎** - **JNDI深入学习** - **JNDI注入原理、高版本JDK限制绕过** --- ## **授课模式** **课程全部采用直播形式，授课方式：腾讯会议，每周2-3次，每节课时长预估在1.5-2.5小时，录播加密播放**