抽空在H1上看到了一个和JDBC Attack有关的案例，于是就简单看了下。

SPI（Service Provider Interface），是JDK内置的一种服务提供发现机制，可以用来启用框架扩展和替换组件，主要是被框架的开发人员使用，比如java.sql.Driver接口，其他不同厂商可以针对同一接口做出不同的实现，MySQL和PostgreSQL都有不同的实现提供给用户，而Java的SPI机制可以为某个接口寻找服务实现。

我在HITB Singapore 2021上做过一次关于JDBC攻击面的分享，议题为《Make JDBC Attacks Brilliant Again》

如果有兴趣可以看看，slide地址
https://conference.hitb.org/files/hitbsecconf2021sin/materials/D1T2%20-%20Make%20JDBC%20Attacks%20Brilliant%20Again%20-%20Xu%20Yuanzhen%20&%20Chen%20Hongkun.pdf

去年的分享议题里没有涉及到PostgreSQL数据库，然而最近出现了PostgreSQL JDBC Driver的相关漏洞。特地做个总结，也算是《Make JDBC Attacks Brilliant Again》议题的番外篇