《Java Web 源代码安全审计指南 1.4》由绿盟科技编写（2023 年版权，版本更新至 V1.5），是一份内部机密级文档，旨在为 Java Web 源代码安全审计提供全面指导。其核心目的是依据 CVE、OWASP Top 10 等参考依据，帮助安全服务人员把控代码审计交付质量，明确审计流程与方法，精准定位并分析漏洞。文档先介绍审计的目的、适用范围（如审计实施参考、SDL 项目交付规范、员工学习资料）及参考依据，接着阐述代码审计的三大方法 —— 代码项目全文通读（梳理数据流与控制流，覆盖全部请求入口）、敏感函数溯源审计（定向挖掘注入、文件操作等漏洞，需结合业务补足逻辑漏洞覆盖不足问题）、功能点定向审计（聚焦敏感功能点分析安全缺陷）。随后重点展开 Java Web 脆弱性审计分析，涵盖注入类（SQL 注入、XSS、XPath 注入等 8 类，详述漏洞描述、审计要点、特征及示例）、身份认证和访问控制（水平 / 垂直越权、登录暴力破解等 5 类）、文件和资源管理（不安全重定向、任意文件上传 / 下载等 7 类）等 11 大类脆弱性，每类均从漏洞原理、审计关键检查点、代码特征及审计实操示例展开。还针对 SpringMVC、MyBatis、SpringSecurity 等 Java 常用框架，介绍框架简介、工作原理及专项审计指南，同时包含漏洞级别评定方法、Java Web 基础（Request&Response、MVC 架构、web.xml 配置等）、代码审计工具使用方法、常见安全控制措施（安全过滤器、安全框架）等附录内容，为 Java Web 源代码安全审计提供从理论到实操的完整支撑。