主页 / 2023 KCon 大会 / Java表达式攻防下的黑魔法
-
作者刘镇东(yzddMr6)
-
简介
Java灵活的表达式虽然带来了开发和使⽤的便捷性,但如果没有加以正确的限制,则会引发严重的安全问题。攻击者利⽤表达式注⼊漏洞可以实现任意代码的执⾏,或者可以借助表达式灵活的语法构造隐蔽的WebShell实现对服务器的⻓期控制,所以Java表达式下的攻防⼀直是安全⼈员研究的重点。
本议题介绍了Java表达式在构造免杀WebShell,漏洞的武器化利⽤以及绕过WAF场景下的对抗⽅法,结合多次赏⾦挑战赛与云上真实环境沉淀下的对抗经验,从后⻔⽂件持久化、漏洞武器化、以及绕过检测三个⽅⾯进⾏阐述,提出了⼀些新的实战进阶利⽤技巧。
-
援引https://paper.seebug.org/3014/
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2022-07-19 05:38:27.897506 -
2020-10-16 02:40:38.654846 -
2023-05-02 09:11:05.026496 -
2023-04-29 05:36:30.347296
附件下载
-
Java表达式攻防下的黑魔法.release.pdf