记录一下 Java 安全学习历程，也有参考 Y4tacker 师傅的https://github.com/Y4tacker/JavaSec

也在整理自己的 Java 学习路线，学了也有一会儿了，总结出一点小心得

推荐的是这些

先学 Springboot【狂神说Java】SpringBoot最新教程IDEA版通俗易懂，前面部分是 Thymeleaf 模板引擎的开发，后面是一些组件的基本使用，很基础。

学一下 vue：尚硅谷Vue2.0+Vue3.0全套教程丨vuejs从入门到精通

学完这两个之后可以自己过一个小项目【实战】基于SpringBoot+Vue开发的前后端分离博客项目完整教学

• 学完这些内容最多花费两个月时间。

如果中途有什么看不懂的，也可以推荐看 Java 基础，哪块不懂看哪块，二倍速走起看【狂神说Java】Java零基础学习视频通俗易懂

可以看b站白日梦组长的视频，讲的非常好

• Java反序列化漏洞专题-基础篇(21/09/05更新类加载部分)

• Java-IO流

• 反射

• JDK动态代理

• 反序列化概念与利用

• URLDNS链分析

• 类的动态加载

一开始学还是会有点懵的，学到后面自然而然就会了

接着就可以开始 CC 链了；CC 链是 1-6-3-2-4-5-7

还有一个 CC11；这一块 CC 链的学习要多自己总结，有利于后续的学习。

• 视频同样推荐 b 站白日梦组长的视频

• CC1链

• CC1链补充

• CC6链

• CC3链

• CC2链

• CC4链

• CC5链

• CC7链

• CC11链

• CommonsBeanUtils反序列化

CC 链部分结束，进入 shiro 部分，shiro 之前我们已经走过开发了，所以理解起来很简单。

• Shiro550流程分析

Shiro 721 的可能后续会学习吧，现在先不学习。

进入到新的阶段

• 这块是基础中的基础，但是也很难，要静下心来学的。

• RMI基础

• RMI的几种攻击方式

• JNDI学习

LDAP 是包含在 JNDI 里面的

学完上面的之后就可以开始学习其他的了。

• FastJson基础
• Fastjson-1.2.24版本漏洞分析
• Fastjson篇03-Fastjson各版本绕过分析

后续还没想好，也还没学到，初定会先 log4j2 ---> jackson 然后内存马

• Log4j2复现

这些学完之后可以学一下内存马，Weblogic，Tomcat 和 Spring 开发；这里先学 Spring 开发。

好久不更新，现在是 2022.9.3；觉得应该先去走一下内存马的模块了，所以开发先放一放，后续因为一些个人原因，可能会跟着学习一个 WebSocket + Servlet 的项目学习。

个人认为内存马刚开始学习的时候和反序列化并无太大关联，反而和 Servlet，Tomcat 关联度非常高。

我觉得还是需要打一下基础的，学习路线如下

基础部分：Tomcat 架构 ---> Servlet 相关基础知识 ----> JSP 的马 ---->

学完基础就可以开始看内存马了，Web 服务的流程应该是 Listener ---> Filter ----> Servlet；但是先学 Listener

内存马的学习：Filter ----> Listener -----> Servlet; 内存马与反序列化

• Java反序列化之内存马系列 01-基础内容学习
• Java内存马系列-02-内存马介绍
• Java内存马系列-03-Tomcat 之 Filter 型内存马
• Java内存马系列-04-Tomcat 之 Listener 型内存马

最近自己也在看吧，感觉有点意思，Java 代码审计还是有点难度的；建议先从 WebGoat 入手，后续再看吧。

最近学下来，感觉先学完 WebGoat，然后跟着复现一些漏洞吧，比如 RuoYi 的一些漏洞，前期先看其他师傅的文章跟着复现，后续可以自己审计一些代码。