如何閱讀本書

本書共分為4篇，循序漸進地介紹了Java代碼審計過程中不可或缺的工具、技術及操作方法。如果你是有一定經驗的安全從業人員，那么可以跳過本書的第一篇，從第二篇開始學習。如果你是一名初學者，最好是從第一篇開始，按章節順序逐步學習。

第一篇為基礎篇（第1章），主要介紹Java Web環境的搭建步驟、常見的動態調試方法以及代碼審計工具的基本使用方法，為后續的深入學習打下堅實基礎。

第二篇為入門篇（第2章～第3章），其中第2章主要介紹常見的Java漏洞類型以及代碼審計要點和防御方法，幫助讀者建立對Java安全漏洞的初步認知；第3章則通過實戰演練，以開源Java漏洞靶場Java-sec-code為藍本，運用知名代碼審計工具CodeQL進行審計，旨在加深讀者對Java漏洞的理解并熟練掌握CodeQL工具的使用。

第三篇為高級篇（第4章～第6章），分別針對Java Web開發中常見的SSM、SSH及Spring Boot + MyBatis等框架進行詳細介紹，并選取其中典型的框架漏洞進行深入的調試分析，旨在提升讀者對復雜Java Web應用安全性的理解和應對能力。

第四篇為實戰篇（第7章），通過真實Java Web應用程序的審計案例，詳細展示如何在實踐中運用CodeQL等審計工具快速發現并解決安全漏洞。此篇不僅是對前面所學知識的綜合運用，更是對讀者實戰能力的全面鍛煉和提升。