分享研究成果，京东安全受邀参加Google BugSwat, 看雪SDC，GeekCon三大国际国内安全会议

金秋十月，夏日的余温还没有完全褪去，安全行业也依然保持着持续的热度，行业互动交流频频，京东安全受邀参加国际国内三大会议，亮相Google BugSwat, 看雪SDC，GeekCon，分享安全技术研究成果。

（一）

谷歌第一届全球安全研究者峰会BugSWAT 2023在日本东京隆重召开。本次大会邀请了来自全球约60位顶级安全研究专家与Google全球安全团队进行了深度闭门交流和分享，并现场观摩了各顶级战队参加的Hackeler8 CTF决赛。京东安全研究员受邀参加，由于为谷歌生态贡献了多个高危漏洞，获得2023年度TOP Researcher，并为谷歌Chrome团队进行了专题安全分享。

(二)

10月23日，一年一度的看雪开发者安全峰会在上海如期举办，京东安全受邀参加本次大会，安全实验室和蓝军团队分享了他们的联合研究成果——基于Datalog的静态程序分析最新进展，展示了具有性能优势的高精度静态分析技术，介绍了针对Java Web应用开发的静态分析框架JDoop，该框架用于对黑盒Java Web程序进行污点分析, 从而扫描出命令注入、 SQLI注入、 JDBC反序列化等多种类型的漏洞。 在研究的过程中，京东安全研究团队改进了上下文敏感策略, 处理了PT Analysis算法的access path问题, 并适配了spring框架, 有效提高了分析的准召率。

（图注：京东安全研究员0xEaS和TheDog在看雪进行技术分享）‍‍‍‍‍

（三）

在1024这个极客狂欢日，一群安全极客齐聚上海GeekCon大会，展示他们为手机、汽车等与网民生活密切相关的产品的安全研究最新成果，并且披露了一系列黑产攻击和防御方法。京东安全受邀参加大会，分享技术研究成果，并荣获大会优秀技术合作、优秀生态伙伴等多个奖项荣誉。

在本次大会上，京东安全实验室研究员作为评委参与了大赛项目的评审工作，并在15+5环节进行了Android系统与生态、应用安全的专题分享，介绍了Android近期安全机制的演进、漏洞挖掘技术和灰黑产对抗。

随着Scudo Allocator、MTE等关键软硬件机制的引入，以及BAL restriction，ZipEntry Mitigation, Immutable PendingIntent, Read-Only Executable等Framework层缓解措施的实施，最新版Android被内存破坏漏洞所利用的难度已经大大降低，然而在生态和隐私保护领域仍然存在着艰巨的挑战。随着Google将各种malware所利用的保活特性进行修补和缓解，malware作者开始利用通过攻击Framework漏洞的方式进行牟利，这也对漏洞挖掘提出了更高的挑战，如何在性能上进行更好的优化？近期的SparseDroid、Scaler等剪枝和上下文优化技术显著地提升了漏洞挖掘的效率，在实战中获得了较好地效果。

——————————

京东安全獬豸实验室是京东安全旗下的前沿探索研究与实践机构，聚焦于移动iOT安全、云原生与供应链安全，多次发表在漏洞挖掘、程序分析等方面的研究并在集团内部落地，成果在BlackHat、DEFCON、CanSecWest、HITB、XCON、MOSEC等多个顶级安全大会上多次发表，并曾凭借魔形女漏洞获得过Pwnie Award黑客奥斯卡最佳提权漏洞奖。

京东蓝军是京东集团信息安全部专注于从攻击者视角来评判、推演和验证集团各BGBU的安全能力，是一支以攻促防的专业化队伍。团队成员由资深威胁分析师、安全研究员和黑客精英组成，他们曾为一些国内一流公司和组织服务多年，致力利用业界领先攻防技术来挖掘并消除京东的安全防护短板。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/