京东安全亮相Black Hat USA ！探讨Mac安全和静态代码分析新高地

8月3日至8月8日，安全领域顶级盛会——美国黑帽子大会Black Hat USA 2024于美国拉斯维加斯成功举办。京东安全獬豸实验室成员亮相本次大会，与来自世界各地的安全专家、研究人员和从业者分享安全领域新成果。

Mac安全新议题：

应用沙箱和AppData TCC的全面探讨

京东安全獬豸实验室本次入选的议题之一名为：

Unveiling Mac Security: A Comprehensive Exploration of Sandboxing and AppData TCC。

安全实验室研究员基于Android和IoT安全领域的丰富经验，探讨了macOS 上应用沙箱和AppData TCC的安全漏洞。

JDoop：

提升Java Web应用安全的静态分析利器

Blackhat Arsenal互动展示是Blackhat的另一大特色，展示来自全球各地技术极客开发的优秀安全工具。实验室研究员聚焦 Java Web 应用程序，展示了一款基于Doop改进的黑盒静态分析工具JDoop，目前可以扫描包括命令注入、SQL 注入、JDBC 反序列化等多种数据流类型的漏洞。

实验室研究员分析了传统上下文敏感策略（context sensitive strategies）在JavaEE场景下表现不佳的原因，使用污点分析（taint analysis）技术在JDoop上提出了基于入口点保留上下文元素的新策略。同时，JDoop对于PT分析算法（PT analysis algorithms）中的污点传播（taint transfer）规则进行了改进，以解决Access Path问题。经过上述改进，JDoop在漏洞检测的准确性和效率方面有显著提升。

獬豸实验室 （Dawn Security Lab）是京东旗下专注前沿攻防技术研究和产品沉淀的安全研究实验室。重点关注移动端安全、系统安全、核心软件安全、机器人安全、IoT安全、广告流量反作弊等基础和业务技术研究。

实验室成员曾多次获得Pwn2Own冠军，在BlackHat、DEFCON、MOSEC、CanSecWest、GeekCon等顶级安全会议上发表演讲，发现Google、Apple、Samsung、小米、华为、Oppo等数百个CVE并获得致谢。曾获得2022年黑客奥斯卡-Pwnie Awards“最佳提权漏洞奖” ；同时也是华为漏洞奖励计划优秀合作伙伴，CNNVD一级支撑单位，GeekCon优秀合作伙伴。