分享研究成果,京东安全受邀参加Google BugSwat, 看雪SDC,GeekCon三大国际国内安全会议

百家 作者:京东安全应急响应中心 2023-11-02 21:39:03

金秋十月,夏日的余温还没有完全褪去,安全行业也依然保持着持续的热度,行业互动交流频频,京东安全受邀参加国际国内三大会议,亮相Google BugSwat, 看雪SDC,GeekCon,分享安全技术研究成果。

(一)

谷歌第一届全球安全研究者峰会BugSWAT 2023在日本东京隆重召开。本次大会邀请了来自全球约60位顶级安全研究专家与Google全球安全团队进行了深度闭门交流和分享,并现场观摩了各顶级战队参加的Hackeler8 CTF决赛。京东安全研究员受邀参加,由于为谷歌生态贡献了多个高危漏洞,获得2023年度TOP Researcher,并为谷歌Chrome团队进行了专题安全分享。

(二)

10月23日,一年一度的看雪开发者安全峰会在上海如期举办,京东安全受邀参加本次大会,安全实验室和蓝军团队分享了他们的联合研究成果——基于Datalog的静态程序分析最新进展,展示了具有性能优势的高精度静态分析技术,介绍了针对Java Web应用开发的静态分析框架JDoop,该框架用于对黑盒Java Web程序进行污点分析, 从而扫描出命令注入、 SQLI注入、 JDBC反序列化等多种类型的漏洞。 在研究的过程中,京东安全研究团队改进了上下文敏感策略, 处理了PT Analysis算法的access path问题, 并适配了spring框架, 有效提高了分析的准召率。

(图注:京东安全研究员0xEaS和TheDog在看雪进行技术分享)

(三)

在1024这个极客狂欢日,一群安全极客齐聚上海GeekCon大会,展示他们为手机、汽车等与网民生活密切相关的产品的安全研究最新成果,并且披露了一系列黑产攻击和防御方法。京东安全受邀参加大会,分享技术研究成果,并荣获大会优秀技术合作、优秀生态伙伴等多个奖项荣誉。

在本次大会上,京东安全实验室研究员作为评委参与了大赛项目的评审工作,并在15+5环节进行了Android系统与生态、应用安全的专题分享,介绍了Android近期安全机制的演进、漏洞挖掘技术和灰黑产对抗。

随着Scudo Allocator、MTE等关键软硬件机制的引入,以及BAL restriction,ZipEntry Mitigation, Immutable PendingIntent, Read-Only Executable等Framework层缓解措施的实施,最新版Android被内存破坏漏洞所利用的难度已经大大降低,然而在生态和隐私保护领域仍然存在着艰巨的挑战。随着Google将各种malware所利用的保活特性进行修补和缓解,malware作者开始利用通过攻击Framework漏洞的方式进行牟利,这也对漏洞挖掘提出了更高的挑战,如何在性能上进行更好的优化?近期的SparseDroid、Scaler等剪枝和上下文优化技术显著地提升了漏洞挖掘的效率,在实战中获得了较好地效果

——————————

京东安全獬豸实验室是京东安全旗下的前沿探索研究与实践机构,聚焦于移动iOT安全、云原生与供应链安全,多次发表在漏洞挖掘、程序分析等方面的研究并在集团内部落地,成果在BlackHat、DEFCON、CanSecWest、HITB、XCON、MOSEC等多个顶级安全大会上多次发表,并曾凭借魔形女漏洞获得过Pwnie Award黑客奥斯卡最佳提权漏洞奖。

京东蓝军是京东集团信息安全部专注于从攻击者视角来评判、推演和验证集团各BGBU的安全能力,是一支以攻促防的专业化队伍。团队成员由资深威胁分析师、安全研究员和黑客精英组成,他们曾为一些国内一流公司和组织服务多年,致力利用业界领先攻防技术来挖掘并消除京东的安全防护短板。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接