Optimize dashboard and security module docs

Author: whgojp

.github/workflows/maven-build.yml

@@ -0,0 +1,27 @@
+name: Maven Build
+
+on:
+  push:
+    branches:
+      - main
+  pull_request:
+    branches:
+      - main
+
+jobs:
+  build:
+    runs-on: ubuntu-latest
+
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Set up JDK 8
+        uses: actions/setup-java@v4
+        with:
+          distribution: temurin
+          java-version: 8
+          cache: maven
+
+      - name: Build
+        run: mvn -B -DskipTests package

Dockerfile

@@ -3,7 +3,7 @@ FROM openjdk:8
 WORKDIR /work
 
 LABEL maintainer="whgojp@foxmail.com"
-LABEL version="1.4"
+LABEL version="1.5"
 LABEL description="I think therefore I am."
 
 COPY target/JavaSecLab.jar /work/JavaSecLab.jar

README.md

@@ -1,170 +1,201 @@
-# ![](./pic/logo.png)JavaSecLab 一款综合Java漏洞平台
+# ![](./pic/logo.png) JavaSecLab - 综合型 Java 漏洞靶场
 
 <div align="center">
   <a href="https://www.apache.org/licenses/LICENSE-2.0.html"><img src="https://img.shields.io/github/license/alibaba/transmittable-thread-local?color=blueviolet&logo=apache" alt="License"></a>
-  <a href="https://github.com/whgojp/JavaSecLab"><img alt="Release" src="https://img.shields.io/badge/Java-8-ff9900?logo=java"></a>
-  <a href="https://github.com/whgojp/JavaSecLab"><img src="https://img.shields.io/badge/Version-1.3-red.svg" alt="Version"></a>
+  <a href="https://github.com/whgojp/JavaSecLab"><img alt="Java" src="https://img.shields.io/badge/Java-8-ff9900?logo=java"></a>
+  <a href="https://github.com/whgojp/JavaSecLab"><img src="https://img.shields.io/badge/Version-1.5-red.svg" alt="Version"></a>
   <a href="https://blog.csdn.net/weixin_53009585"><img src="https://img.shields.io/badge/Developed%20by-whgojp-purple.svg" alt="Developed by whgojp"></a>
-    <img src="https://img.shields.io/github/stars/whgojp/JavaSecLab?color=brightgreen&style=flat-square" alt="GitHub Repo stars">
+  <img src="https://img.shields.io/github/stars/whgojp/JavaSecLab?color=brightgreen&style=flat-square" alt="GitHub Repo stars">
   <img src="https://img.shields.io/github/forks/whgojp/JavaSecLab?style=blue" alt="GitHub forks">
 </div>
 
+[English](./README.md)
 
 ----------------------------------------
 
 ## 项目介绍
-​	JavaSecLab是**一款综合型Java漏洞平台**，提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范、漏洞流量分析，覆盖多种漏洞场景，友好用户交互UI…… 
 
-![image-20241020143155383](./pic/home.png)
+JavaSecLab 是一款面向应用安全学习、代码审计训练、开发安全培训和安全工具测试的综合型 Java 漏洞靶场。项目基于 Spring Boot 构建，围绕真实 Java Web 项目中常见的漏洞入口，提供缺陷代码、修复代码、漏洞场景、审计 Source/Sink、修复思路、安全编码说明和漏洞流量分析。
 
-![show](./pic/show.png)
-
-## 面向人群
-
-- 安全服务方面：帮助安全服务人员理解漏洞原理(产生、修复、审计)，以及对应漏洞流量分析
-
-- 甲方安全方面：可作为开发安全培训演示，友好的交互方式，帮助研发同学更容易理解漏洞
+项目希望解决一个很实际的问题：不仅让使用者知道“漏洞怎么打”，也能看清“漏洞为什么会在代码里产生，以及应该如何修”。
 
-- 安全研究方面：各种漏洞的不同触发场景，可用于xAST等安全工具测试
+![home](./pic/home.png)
 
+![show](./pic/show.png)
 
-## 支持漏洞模块
-
-- 跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPATH注入
+## 适用人群
 
-- SQL注入、任意文件系列、跨服务端请求伪造、XML实体注入、RCE
+- **安全服务人员**：用于讲解漏洞原理、触发方式、修复方案、审计路径和流量特征。
+- **企业安全团队**：作为 SDL、DevSecOps、开发安全培训和安全意识建设的演示平台。
+- **安全研究人员**：用于测试 SAST、DAST、IAST、RASP、SCA、xAST、可达性分析等安全工具。
+- **Java 研发同学**：通过真实代码理解常见安全问题，避免只停留在抽象规范和检查清单。
 
-- 逻辑漏洞(IDOR、验证码安全、支付安全、并发安全)、敏感信息泄漏系列、登录对抗系列
+## 漏洞模块
 
-- SPEL注入、SSTI注入、反序列化、组件漏洞
+JavaSecLab 覆盖多类 Java Web 安全场景，包括：
 
+- 跨站脚本、跨站请求伪造、CORS、JSONP、URL 重定向、XFF 伪造、拒绝服务、XPath 注入
+- SQL 注入、任意文件读取/上传/下载/删除、SSRF、XXE、RCE
+- 逻辑漏洞：越权访问、验证码安全、支付安全、并发安全
+- 敏感信息泄漏、登录对抗、请求签名、JWT 凭证安全
+- SpEL 表达式注入、SSTI 模板注入、Java 反序列化
+- Fastjson、Jackson、XStream、Log4j2、Shiro、SnakeYAML、XMLDecoder 等组件与生态场景
+- Spring Boot 生态暴露面：Swagger、Actuator、Druid、MySQL JDBC 反序列化等
 
-## 在线环境体验
+## 在线体验
 
-http://whgojp.top/
+在线地址：<http://whgojp.top/>
 
-账号密码：admin/admin
+默认账号：`admin/admin`
 
-## 项目灵感
+> JavaSecLab 是漏洞靶场，包含故意保留的漏洞代码、危险依赖和不安全配置。自行部署时请放在隔离环境中，不建议直接暴露到公网。
 
-​	曾在甲方单位工作过一段时间，有机会接触到完整的**漏洞生命周期**：很多次做完渗透测试后，通过(TAPD、Jira)发送工单通知研发同学修复漏洞，经常面临着一些问题：**1、研发不知道为什么这是个漏洞？2、研发不知道这个漏洞怎么修复？**
-​	由此，一个想法💡油然而生，恰巧自己也懂些开发知识，想着可不可以通过代码的方式让研发同学快速了解漏洞的产生与修复……
+## 项目初衷
 
-> 平台提供相关漏洞的安全编码规范，甲方朋友在做SDL/DevSecOps建设的时候，可以考虑加入开发安全培训这一环节
+作者曾在甲方单位接触过比较完整的漏洞生命周期：渗透测试或安全评估结束后，通过 TAPD、Jira 等系统把漏洞工单发送给研发同学修复。但在实际沟通过程中，经常会遇到两个问题：
 
-​	此外，自己也做过安全服务类项目，我想大部分朋友会和我一下，只是按照 信息收集->外网打点->发现漏洞->输出报告 这个流程测试，对于漏洞怎么产生、怎么修复，似乎并不关心……
+1. 研发同学不知道为什么这是一个漏洞。
+2. 研发同学不知道这个漏洞应该怎样修复。
 
-​	代码审计过程中，通常是先定位SINK点(即代码执行或输出的关键位置)，然后再回溯寻找对应的SOURCE点(即输入或数据来源的位置)。通过将SOURCE点和SINK点串联起来，来完成代码审计工作
+JavaSecLab 的出发点就是把漏洞现象、代码缺陷、修复方案和审计思路串起来。相比只给出文字报告或 PoC，本项目更强调从代码视角理解漏洞产生的原因。
 
-> 平台针对每种漏洞提供对应缺陷代码、多种安全安全修复方式(例如：1、升级修复 2、非升级修复)，同时针对代码审计，平台也提供相关漏洞的SINK点
+在代码审计中，常见方法是先定位 **Sink 点**，例如命令执行、SQL 执行、文件访问、模板渲染、反序列化、响应输出等关键位置；再向上回溯 **Source 点**，例如请求参数、Header、Cookie、上传文件、序列化数据、数据库内容等输入来源。JavaSecLab 的很多场景都围绕 Source 到 Sink 的链路设计，便于学习和工具验证。
 
-​	再后来，接触了应用安全产品，SCA、SAST、DAST、RASP等，看待安全漏洞似乎又是另一种角度，对于客户来说，采购的安全工具，无论是扫源码、容器、镜像……，都希望尽可能的扫到更多的漏洞，当然也希望少点误报，笔者也或多或少接触到可达性分析等相关技术，项目中也针对每种漏洞编写了不同的触发场景，感兴趣的朋友可以测试一下……
+同一种漏洞在真实业务中往往有多种触发路径。因此项目也尽量为核心漏洞补充多个场景，帮助使用者理解不同代码写法、框架特性和业务流程下的风险差异。
 
-> 平台针对同种漏洞提供多种触发场景
+## 流量分析
 
-🆕 更新漏洞流量分析模块，方便师傅们参考学习，以本项目漏洞流量为例，如果您有更好的漏洞流量数据包，欢迎提PR参与项目🌹
+项目内置了部分漏洞流量分析内容，方便结合请求包、响应包和代码行为理解漏洞特征。如果你有更清晰的漏洞流量包、复现说明或分析样例，欢迎提交 PR 一起完善。
 
 ![flow1](./pic/flow1.png)
 
-这里以延时注入为例：可以从响应时间明显的看到其流量特征：5秒后服务器响应
+以延时注入为例，可以从响应时间上观察到明显特征：服务端约 5 秒后返回响应。
 
 ![flow2](./pic/flow2.png)
 
-## 技术架构
+## 技术栈
 
-​	SpringBoot + Spring Security + MyBatis + Thymeleaf + Layui
+- Spring Boot
+- Spring Security
+- MyBatis / MyBatis-Plus
+- JPA / Hibernate
+- Thymeleaf
+- Layui
+- MySQL
 
 ## 部署方式
 
-先clone下项目代码
+克隆项目：
 
 ```shell
 git clone https://github.com/whgojp/JavaSecLab.git
+cd JavaSecLab
 ```
 
-![image-20240905230400930](./pic/git-clone.png)
+![git clone](./pic/git-clone.png)
 
-### 本地部署-IDEA
+### 本地部署 IDEA
 
-> JDK环境 1.8
+环境要求：
 
-1. 配置数据库(**Mysql 8.0+**)
+- JDK 8
+- MySQL 8.0+
+- Maven
 
-   执行 sql/JavaSecLab.sql 文件
-
-   修改配置文件application.yml active为dev(项目默认为docker 如果搭建的过程中出现数据库连接错误 师傅们可以注意下这里)
+1. 创建数据库并导入 [sql/JavaSecLab.sql](./sql/JavaSecLab.sql)。
+2. 修改 [src/main/resources/application.yml](./src/main/resources/application.yml)，将环境切换为 `dev`：
 
    ```yaml
    spring:
-     # 环境 dev|docker
      profiles:
        active: dev
    ```
-   
-2. 修改application-dev.yml配置文件
 
-```yaml
-username: root
-password: QWE123qwe
-url: jdbc:mysql://localhost:13306/JavaSecLab?characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=false&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=GMT%2B8&nullCatalogMeansCurrent=true&allowPublicKeyRetrieval=true&allowMultiQueries=true
-```
+3. 修改 [src/main/resources/application-dev.yml](./src/main/resources/application-dev.yml) 中的数据库连接信息：
 
-<img src="./pic/login.png" alt="logo" style="zoom:100%;" />
+   ```yaml
+   username: root
+   password: QWE123qwe
+   url: jdbc:mysql://localhost:13306/JavaSecLab?characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=false&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=GMT%2B8&nullCatalogMeansCurrent=true&allowPublicKeyRetrieval=true&allowMultiQueries=true
+   ```
+
+4. 使用 IDEA 启动项目，或通过 Maven 启动。
+
+默认账号：`admin/admin`
 
-初始账号密码：admin/admin(后台可修改)
+![login](./pic/login.png)
 
-### Docker部署(推荐)
+### Docker 部署
 
-> 条件：已安装docker和docker-compose
->
-> docker部署过程中 sql文件没有初始化执行的话(即数据库为空) 需要手动导入下sql文件
+环境要求：
+
+- Docker
+- Docker Compose
+
+构建并启动：
 
 ```shell
 mvn clean package -DskipTests
 docker-compose -p javaseclab up -d
 ```
 
-![image-20240905225532698](./pic/deploy-docker.png)
+如果容器启动后数据库为空，请手动导入 [sql/JavaSecLab.sql](./sql/JavaSecLab.sql)。
 
-![image-20240905225532698](./pic/deploy-docker2.png)
+![docker deployment](./pic/deploy-docker.png)
 
-更多部署方案、部署问题解答详见：[部署指南](https://github.com/whgojp/JavaSecLab/wiki/%E9%83%A8%E7%BD%B2%E6%8C%87%E5%8D%97)
+![docker deployment](./pic/deploy-docker2.png)
 
-## 开源协议
+更多部署方案和常见问题见：[部署指南](https://github.com/whgojp/JavaSecLab/wiki/%E9%83%A8%E7%BD%B2%E6%8C%87%E5%8D%97)
 
-​	**When we speak of free software, we are referring to freedom, not price.**
+## 安全提示
 
-本项目遵循 [Apache License 2.0](http://www.apache.org/licenses/LICENSE-2.0) 协议，详细的许可证内容请参见项目中的 [LICENSE](./LICENSE) 文件。
+JavaSecLab 为漏洞靶场项目，包含故意保留的危险接口、漏洞依赖和不安全配置。请只在本地或隔离网络中运行。
 
-## 更新记录
+建议注意：
+
+- 不要把靶场直接部署到公网。
+- 使用一次性账号、测试数据库和隔离容器环境。
+- 不要把宿主机敏感目录挂载进容器。
+- 启动 Docker Compose 前检查暴露端口。
+- 将上传文件、生成文件和日志都视为不可信数据。
+
+项目中的安全修复代码用于教学和演示，真实业务系统通常还需要结合鉴权、审计、限流、数据校验、依赖治理、监控告警和纵深防御。
+
+## 贡献
+
+欢迎提交 Issue 或 Pull Request。比较适合贡献的内容包括：
+
+- 新漏洞场景，以及对应的缺陷代码和修复代码
+- 更准确的 Source/Sink 说明和代码审计笔记
+- 更清晰的漏洞流量包和流量分析说明
+- 部署问题修复和文档改进
+- 更适合教学演示的交互和页面优化
+
+## 开源协议
+
+**When we speak of free software, we are referring to freedom, not price.**
 
-项目的详细更新记录请参阅 [更新日志](https://github.com/whgojp/JavaSecLab/wiki/%E6%9B%B4%E6%96%B0%E6%97%A5%E5%BF%97)
+本项目遵循 [Apache License 2.0](http://www.apache.org/licenses/LICENSE-2.0) 协议，详细内容请参见 [LICENSE](./LICENSE)。
 
-## 一些Tips🙋
+## 更新记录
 
-1. 安全问题：由于是漏洞靶场，因此不建议搭建在公网上使用
-1. 项目中的安全修复代码仅供参考，实际业务中漏洞修复起来可能要复杂的多……
-1. **问题/建议反馈：如果遇到一些项目问题或者更好的建议，欢迎各位师傅可以提Issue或加交流群进行反馈**
-1. **看到这里，师傅觉得项目有用的话，麻烦动动手点个star吧，非常感谢🙏**
+项目详细更新记录见：[更新日志](https://github.com/whgojp/JavaSecLab/wiki/%E6%9B%B4%E6%96%B0%E6%97%A5%E5%BF%97)
 
 ## 关于作者
 
 作者博客：[今天是几号](https://blog.csdn.net/weixin_53009585)
 
-**如果师傅同样对开发安全、应用安全、SDL、漏洞靶场等感兴趣的话，欢迎加交流群一起探讨……**
+如果你同样关注应用安全、开发安全、SDL、DevSecOps 或漏洞靶场，欢迎加入交流群一起讨论。
 
 <div style="text-align: center;">
-    <img src="./pic/wechat.png" alt="description" width="271" height="366" />
-      <img src="./pic/group.png" alt="description" width="271" height="366" />
+  <img src="./pic/wechat.png" alt="WeChat" width="271" height="366" />
+  <img src="./pic/group.png" alt="Community group" width="271" height="366" />
 </div>
 
-
 ## 赞助开源
 
-​	如果您觉得这个工具对您有帮助，不妨考虑支持一下作者的开发工作。您的赞助将用于维护在线服务器和持续优化项目功能，非常感谢您的鼓励和支持！
+如果 JavaSecLab 对你有帮助，欢迎支持作者继续维护。赞助将用于在线环境维护和项目功能持续优化，感谢你的鼓励和支持。
 
 <div style="text-align: center;">
-    <img src="./pic/donate.jpg" style="width: 40%; height: auto;"/>
-  </div>
-
-
+  <img src="./pic/donate.jpg" alt="Sponsor JavaSecLab" style="width: 40%; height: auto;"/>
+</div>

README_ZH.md

@@ -15,7 +15,7 @@ services:
       - JavaSecLabNet
 
   JavaSecLab:
-    image: javaseclab:1.4
+    image: javaseclab:1.5
     container_name: Container-JavaSecLab
     restart: always
     build: .