网络安全学习中，源代码审计是较为重要的一项。源代码审计分为白盒、黑盒、灰盒。审计方法也有多种。但是基于关键词审计技巧有什么？是很多人都想了解的。

以下是基于Java审计关键词审计技巧总结：

在搜索时要注意是否为整个单词，以及小写敏感这些设置

java审计

密码硬编码、密码明文存储：

password、pass、jdbc

XSS：

getParamter、<%=、param.

任意文件下载：

download、fileName、filePath、write、getFile、getWriter

任意文件删除：

Delete、deleteFile、fileName、filePath

文件上传：

Upload、write、fileName、filePath

命令注入：

getRuntime、exec、cmd、shell

缓冲区溢出：

strcpy,strcat,scanf,memcpy,memmove,memeccpy，Getc()，fgetc()，getchar;read,printf

XML注入：

DocumentBuilder、XMLStreamReader、SAXBuilder、SAXParser SAXReader、XMLReader SAXSource、TransformerFactory、SAXTransformerFactory、SchemaFactory

反序列化漏洞：

ObjectInputStream.readObject、ObjectInputStream.readUnshared、XMLDecoder.readObject Yaml.load、XStream.fromXML、ObjectMapper.readValue、JSON.parseObject

url跳转：

sendRedirect、setHeader、forward

不安全组件暴露：

activity、Broadcast Receiver、Content Provider、Service、inter-filter

日志记录敏感信息：

log log.info logger.info

代码执行：

eval、system、exec

工具局限性：

工具本身存在一定量的误报或者漏报。

扫描结果需要大量人工确定甄别。

如用多种语言开发的软件，则需单独分析。

使用工具缺乏规范化的编码规范。

不能自动收集常见的代码安全问题。

以上便是源代码审计基于Java审计关键词审计技巧的学习内容分享。