前言

看到P1ng@n师傅发布的一篇文章讲到如何学习JAVA安全，笔者本人也需要恶补一下JAVA，所以记录一下备用。

一、JAVA基础

   Java学习第一步，我们首先还是得看懂Java，这一点咱们还是要充分利用好B站大学，对于初学者来说我觉得还是看视频跟着。

如果嫌时间太长，还有个极速版

然后再看一看SpringBoot的教程，跟着敲一敲

个人认为vue可以快速过，如果嫌弃慢呢就直接狂神拔苗助长版

直接看啥不会看啥，反射不会看反射，动态代理不会看动态代理，到这已经可以了

二、JAVA安全

一、看白日梦组长的视频，过掉反射、流、动态代理、动态加载，顺带可以到反序列化这里，在序列化之前可以摸一下审计owasp的审计，尝试一下，其实造成原因就是（开发不小心没注意）

二、学会使用ysoserial，到这里了我们需要知道一个东西，我们要会用它反弹shell，并且我们cc链子看的就是他上面写的链子路线走的，所以需要利用到工具：frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)

三、到这里了我们就可以开始学习cc链，着重需要看cc1的Lazymap还有cc6链cc链子分析完，我们可以看一下比较简单的shiro550、还有shiro7。

四、RMI这个建议看完后顺带看一下jndi、ldap，教程：javasec rmi基础，因为一般情况下是一起的，这里弄完我觉得后续大家就可以直接开始走那些我们常见的fastjson、log4j、weblogic

五、学习JAVA的内存马，了解原理等，Filter、Listener、Serlvet、Value、Agent内存马的文章比较杂乱，只能自己找找了，这一块freebuf比较多。

六、优质学习文章：Maskhe/javasec: 自己学习java安全的一些总结，主要是安全审计相关