2rpang

曾任职斗象星耀实验室高级安全研究员，2021-2023年多次获得oracle官方致谢，获得IBM webshpere官方致谢，多个CNNVD中高危漏洞及证书。

Java反序化新思路

Java反序列化攻击自2015年提出后，经过多次更新，添加了多种防御手段，尤其在jep290更新后，从底层提出了ObjectInputFilter接口，用于过滤数据流，更是让绕过黑名单的方式难上加难。本次议题作者将从weblogic历史漏洞出发，深入分析反序列化调用栈以及攻防思路，通过寻找不同情况下触发的方法调用，发现了新型的利用方式，进一步绕过黑名单限制，实现远程代码执行