推荐序3

代码审计，从根本意义上来说就是挖掘源程序中存在的代码安全问题，我们团队中还有一部分人也做着一个相似的工作—漏洞fuzzing技术。但代码审计与漏洞 fuzzing 技术又有很大的不同，当前的漏洞 fuzzing 技术依旧存在着很多困难，对于逻辑漏洞、配置漏洞等识别较为困难，另外和人工挖掘相比，漏洞 fuzzing还存在花费时间长，效率较低等问题，这也正是代码审计的优势所在。

通过这些年的学术研究和网络空间安全从业者水平调研，我能够清晰地感觉到，伴随着国内网络空间安全技术的发展，最初的一些只会使用黑客工具的“脚本小子”逐渐被能够进行代码分析、编写脚本的专业安全人员所代替。可以说，一个优秀的安全人员，必须要懂编程。但是懂编程仅仅是第一步，懂编程的人不胜其数，但将编程能力演变成代码审计能力，并且利用代码审计能力去挖掘漏洞的人却少之又少。代码审计是一门技术活，而对于Java 代码审计来说，又因为 Java 语言的多样性，导致 Java 审计技术难度更大，在市面上也很少能够看到系统性的Java代码审计的教程。

对于想要迈入 Java 代码审计的人来说，这本书是一份很好的教材，本书对 Java 代码审计中的各个漏洞点进行了详细剖析，对 Java 代码审计的关键知识点进行了总结，并且通过实战的方式告诉你，Java 代码审计应该是什么样的流程。

攻与防犹如盾与矛，盾刚则矛折，矛硬则盾破，对于攻击方来说，这本书能够让你学到Java 代码审计的原理知识、审计流程以及审计技巧，可以给你的“矛”增加硬度；对于防守方来说，这本书可以让你学到 Java Web 漏洞产生的原因、攻击方角度审视代码安全以及各类漏洞的修复方式，可以给你的“盾”增加刚性。

雏凤清于老凤声，希望年轻的读者能够通过这本年轻人写的书对于代码审计知其然，并知其所以然，擅于发散自己的思维，深刻去了解什么是“安全”，也希望本书的读者为中国网络空间安全贡献一份力！

丁勇

教育部网络空间安全教学指导委员会委员

广西高层次人才 E 层次人才

民盟中央青年委员会委员

鹏城实验室兼职教授

科技部重点研发会评专家

PPNA期刊副主编

环球时报大数据中心特聘专家