JDBC是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,它提供了诸如查询和更新数据库中数据的方法。
随着人们对 JDBC 的兴趣日益增涨,越来越多的开发人员一直在使用基于 JDBC 的工具,以使程序的编写更加容易。程序员也一直在编写力图使最终用户对数据库的访问变得更为简单的应用程序。例如应用程序可提供一个选择数据库任务的菜单。任务被选定后,应用程序将给出提示及空白供填写执行选定任务所需的信息。所需信息输入应用程序将自动调用所需的 SQL 命令。在这样一种程序的协助下,即使用户根本不懂 SQL 的语法,也可以执行数据库任务。
XCon2021会议中,阿里云高级安全专家 徐元振、阿里云高级安全工程师 陈宏锟将与我们共同分享议题《让JDBC利用链攻击重现光芒》。
让JDBC利用链攻击重现光芒
议题简介
本议题将着重介绍如下内容:
1. JDBC利用链的历史,简单回顾任意文件读取、反序列化远程命令执行的利用,以未公开的案例作为示例剖析;
2. 重点介绍如何利用JDBC寻找新的攻击方式;
3. 演示在不同数据库环境下(Apache Derby,IBM DB2等),利用JDBC实现新的攻击;
4.介绍如何对抗WAF和RASP等防护手段实现攻击。
演讲者
阿里云高级安全专家 徐元振
阿里云高级安全专家,阿里云WAF产品负责人,HITB Amsterdam/XCon/KCon/CIS/SSC等会议演讲者。专注于云原生的攻防技术研究,多次向Oracle、Apache等国外厂商和开源社区报告高危漏洞,并获得官方致谢。
所负责的阿里云WAF,多次入围Frost&Sullivan,Gartner全球魔力象限,同时帮助阿里云在Gartner全球云厂商的整体安全能力评估中获得第二名。成为亚洲唯一入围厂商,所负责的应用网关(WAF)安全能力被评估为最高水平(High)。
演讲者
阿里云高级安全工程师 陈宏锟
阿里云高级安全工程师,负责阿里云WAF防御体系建设以及相关攻防技术研究。专注于Web攻防的研究,曾向Sonatype、Apache等知名厂商报告多个漏洞,并获得官方致谢。
XCon2021暨二十周年生日盛典,即将于8月18日-19日在望京·昆泰酒店-二层宴会厅举办,届时中国网安圈的半壁江山将聚首盛典现场。
活动时间
2021年8月18日(周三)-19日(周四)
活动地点
北京市朝阳区启阳路二号
望京昆泰酒店-二层宴会厅
活动票价
【¥3,880元 头号玩家票】
含双日内场演讲+外场展商区+XReward路演区+互动体验区,全场畅行,更有会议日午餐、茶歇、周年定制伴手礼
(于8月17日前购票,均可享受优惠票价,该票价不含生日晚宴)
【¥580元 生日晚宴】
20年生日晚宴(8月18日晚)
聚首安全圈大牛老炮,掀起20年回忆杀
【¥0元体验票】
含外场展商区+XReward路演区+互动体验区
(不含会议日午餐、茶歇及生日晚宴)
*特别说明:购买0元票价需进行身份审核。购票成功后,如因个人原因未能如期参会,将对您在嘶票平台的个人信誉造成影响,降低您参与平台其他免费活动的审核通过率
【¥4,500元 豪横全价票】
仅限会议当日现场购买,不含生日晚宴
且不可使用购票优惠券
扫描下方蓝色二维码
即可进入购票页面
如若转载,请注明原文地址