KCon演讲议题巡展｜Java表达式攻防下的黑魔法

“归源·智变” 2023年KCon黑客大会

举办时间：2023年8月19日-20日

举办地点：北京环球贸易中心·会议中心

为展示演讲议题风采

帮助大家更好地了解议题

特此开展

KCon 2023演讲议题巡展活动

欢迎朋友们围观

现就职于阿⾥云云安全能⼒建设团队，前L3H_Sec战队队⻓，AntSword开发组核⼼成员，开源⼯具As-Exploits，WebCrack，Webshell-venom等作者。⽬前主要从事Web攻防研究，以及阿⾥云恶意⽂本检测引擎的建设。

Java灵活的表达式虽然带来了开发和使⽤的便捷性，但如果没有加以正确的限制，则会引发严重的安全问题。攻击者利⽤表达式注⼊漏洞可以实现任意代码的执⾏，或者可以借助表达式灵活的语法构造隐蔽的WebShell实现对服务器的⻓期控制，所以Java表达式下的攻防⼀直是安全⼈员研究的重点。

本议题介绍了Java表达式在构造免杀WebShell，漏洞的武器化利⽤以及绕过WAF场景下的对抗⽅法，结合多次赏⾦挑战赛与云上真实环境沉淀下的对抗经验，从后⻔⽂件持久化、漏洞武器化、以及绕过检测三个⽅⾯进⾏阐述，提出了⼀些新的实战进阶利⽤技巧。

2023年8月19日 14:20-15:00