一款综合Java漏洞平台

主要观点总结

JavaSecLab是一款综合型Java漏洞平台，旨在帮助安全服务人员、开发人员和安全研究人员理解和应对Java漏洞。该平台提供漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范等功能。

关键观点总结

关键观点1: 平台主要功能和特点

JavaSecLab提供漏洞场景覆盖，友好用户交互UI，帮助安全服务人员理解漏洞原理，可用于开发安全培训演示。平台提供在线环境体验，可通过代码的方式让研发朋友快速了解漏洞的产生与修复。

关键观点2: 项目灵感和背景

该项目灵感来源于在甲方单位工作期间，面临研发人员对漏洞理解和修复上的困难。项目目标是简化漏洞生命周期管理，提供安全编码规范，帮助开发人员更好地理解漏洞。

关键观点3: 技术架构和部署方式

JavaSecLab采用SpringBoot + Spring Security + MyBatis + Thymeleaf + Layui技术架构。部署方式包括原生部署和Docker部署。原生部署需要配置数据库、修改配置文件，而Docker部署则更为简便，只需安装docker和docker-compose，然后进行相关命令操作即可。

关键观点4: 平台特色功能

JavaSecLab提供多种漏洞触发场景模拟，针对不同漏洞提供缺陷代码、多种安全修复方式，帮助用户理解漏洞的产生和修复。此外，还提供一键检测Apache OFBiz历史漏洞的功能，以及配套工具xazlscan，可自动识别系统类型，实现一键式漏洞检测。

正文

请到「今天看啥」查看全文

1、研发不知道为什么这是个漏洞？

2、研发不知道这个漏洞怎么修复？

由此，一个想法💡油然而生，恰巧自己也懂些开发知识，想着可不可以通过代码的方式让研发朋友快速了解漏洞的产生与修复……

平台提供相关漏洞的安全编码规范，甲方朋友在做SDL/DevSecOps建设的时候，可以考虑加入开发安全培训这一环节

此外，自己也做过安全服务类项目，我想大部分朋友会和我一下，只是按照 信息收集->外网打点->发现漏洞->输出报告 这个流程测试，对于漏洞怎么产生、怎么修复，似乎并不关心……

代码审计过程中，通常是先定位 SINK 点(即代码执行或输出的关键位置)，然后再回溯寻找对应的 SOURCE 点(即输入或数据来源的位置)。通过将 SOURCE 点和 SINK 点串联起来，来完成代码审计工作

平台针对每种漏洞提供对应缺陷代码、多种安全安全修复方式(例如：1、升级修复 2、非升级修复)，同时针对代码审计，平台也提供相关漏洞的 SINK 点

再后来，接触了应用安全产品，SCA、SAST、DAST、RASP 等，看待安全漏洞似乎又是另一种角度，对于客户来说，采购的安全工具，无论是扫源码、容器、镜像……，都希望尽可能的扫到更多的漏洞，当然也希望少点误报，笔者也或多或少接触到可达性分析等相关技术，项目中也针对每种漏洞编写了不同的触发场景，感兴趣的朋友可以测试一下……

平台针对同种漏洞提供多种触发场景

……

请到「今天看啥」查看全文