Ghost Bits:Black Hat Asia 2026 揭露的 Java Unicode 截断攻击
Ghost Bits 是 Black Hat Asia 2026 披露的一种新型攻击手法,利用 Java 中 char(16位)强转为 byte(8位)时高8位被静默丢弃的特性,让 WAF 看到无害的中文字符,而底层执行时变成危险 ASCII 字符,从而绑过 WAF 实现 SQL 注入、路径穿越、文件上传绕过等攻击。本文详解其原理、利用链条和防御方法。
Ghost Bits 是 Black Hat Asia 2026 披露的一种新型攻击手法,利用 Java 中 char(16位)强转为 byte(8位)时高8位被静默丢弃的特性,让 WAF 看到无害的中文字符,而底层执行时变成危险 ASCII 字符,从而绑过 WAF 实现 SQL 注入、路径穿越、文件上传绕过等攻击。本文详解其原理、利用链条和防御方法。