一、程式碼審計常用思路

1、介面排查("正向追蹤")
2、危險方法溯源("逆向追蹤")
3、功能點審計
4、第三方元件、中介軟體版本對比
5、補丁對比
6、黑盒+白盒
7、靜態掃描工具
8、開發框架安全審計
二、遠端除錯
1、對jar包進行遠端除錯
使用IntelliJ IDEA建立一個Java專案,並建立一個lib資料夾將Jar包放入。點選lib資料夾後，右鍵選擇"Add as LIbirary"，將lib資料夾新增進專案依賴。成功新增後可以看到Jar包中反編譯後的原始碼。
通過右上角的"Add Configurations"，並單擊"+"新增一個"Remote"。
然後配置如下引數:
-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005
接下來在cmd命令列中執行如下生命:
java -jar -agentlib:jdwp=transport=dt_socket,server=y,suspend=y,address=5005 oracleShell.jar
三、Maven的使用
IDEA中可以在新建專案時選擇建立Maven專案。建立完成後會包含pom.xml檔案，對於安全人員來說，可以從pom.xml檔案中審查當前java應用程式是否使用了存在安全隱患的元件，以及快速搭建特定版本的漏洞環境。
四、Swagger特點及使用
通過http://Path/swagger-ui.html可以為前端展示相關的API文件，並像使用Postman以及Curl命令一樣，通過Web介面進行介面測試。