awesome-java-security-checklist

准备开java安全坑,把自己学习找到的相关资料分享出来总结一下,持续更新欢迎各位表哥star和提交新的内容支持一下，协助修正完善

资料均来自网上收集,如未标明作者有侵权行为,请及时联系h4x0er[at]secbug.org进行删除或修改。

喜欢请点 Star，如果不打算贡献，千万别 Fork，Fork后的版本不会自动同步更新最新的版本，你不会享受到最新版本给你带来的快乐和惊喜

Java学习

后端架构师技术图谱

《史上最简单的Spring Cloud教程源码》

Java 技术书籍大全

代码审计

Java-Web-Security

java源代码静态代码分析和危险函数识别

攻击JavaWeb应用1-9【JavaWeb安全系列】

java代码审计手书(一）

java代码审计手书(二）

java代码审计手书(三）

java代码审计手书(四）

Java反序列化漏洞从入门到深入

Java反序列化备忘录

Java反序列化漏洞之殇

JAVA中常见数据库操作API

JAVA代码审计的一些Tips(附脚本)

JAVA代码审计之XXE与SSRF

Struts2

作为武器的CVE-2018-11776：绕过Apache Struts 2.5.16 OGNL 沙箱

在我们的Struts代码中-深入审计java漏洞

代码审计工具

Fortify SCA

Checkmarx

findbugs

find-sec-bugs

cobra

sonarqube

PMD

appsensor

Mobile-Security-Framework-MobSF

List of tools for static code analysis

第三方组件安全扫描

DependencyCheck

修复方法

java各种漏洞风险具体修复方案

web安全开发参考手册

JDK解决反序列化的方法

Java常见通用漏洞和修复的代码以及利用payload

安全设计

金融科技SDL安全设计checklist

SDL软件安全设计初窥

移动APP安全与SDL

开发安全的API所需要核对的清单

一组匹配中国大陆手机号码的正则表达式

正则表达式安全备忘单

验证码设计

实用性开发人员安全须知

威胁建模

威胁建模介绍

安全框架

apache-shiro

spring-security

spring-security-oauth

js-xss

ESAPI-JAVA

openrasp

Java软Waf框架

代码规范

《阿里巴巴Java开发手册v1.2.0》

唯品会Java开发手册【参考阿里Java开发手册】

相关网站推荐

先知社区：https://xz.aliyun.com/

漏洞时代: http://0day5.com/

知道创宇paper:https://paper.seebug.org/

securitypaper：https://www.securitypaper.org/

开源安全架构:https://bloodzer0.github.io/ossa/

书籍推荐

基础

· 《Java核心技术》【美】Cay S.Horstmann；Gary Cornell，入门书籍

· 《Java 编程思想》【美】Bruce eckel，进阶书籍

审计

· 《安全编程代码静态分析》【美】Brian Checss/Jacob West

设计

· 《需求设计：构建用户想要和需求的产品》【英】克里斯.布里顿

· 《威胁建模：设计和交互更安全的软件》【美】Adam Shostack

架构

· 《架构整洁之道》【美】Robert C.Martin

· 《架构即未来》【美】MartinL.Abbott

持续交互

· 《DevOps实践指南》【美】Gene Kim/Jez Humbie/Patrick Debois/John Wills

· 《持续交互2.0 业务引领的DevOps精要》乔梁

产品

· 《人人都是产品经理》苏杰

其他

· 《编程高手箴言》梁肇新

· 《代码整洁之道》【美】Robert C.Martin

· 《代码大全》【美】Steve McConnell

感谢以下人员的贡献

@Weiho