お知らせ connpassではさらなる価値のあるデータを提供するため、2024年5月23日(木)を以ちましてイベントサーチAPIの無料での提供の廃止を決定いたしました。
料金・プラン等につきましては後日改めてご案内いたします。詳しくはこちらの お知らせをご覧ください。

お知らせ connpassをご利用いただく全ユーザーにおいて健全で円滑なイベントの開催や参加いただけるよう、イベント参加者向け・イベント管理者向けのガイドラインページを公開しました。内容をご理解の上、イベント内での違反行為に対応する参考としていただきますようお願いいたします。

このエントリーをはてなブックマークに追加

Feb

22

Security․Tokyo #1

面白かった脆弱性の解説大会

Organizing : 株式会社Flatt Security、Tokyo HackerOne Club

Security․Tokyo #1
Registration info

会場参加

Free

FCFS
91/70

Attendees
k-karen
kuzushiki
hiroi
n01e0
tommy
azara
akroasis5150
akakou
Tsubasa
levena_evenas
View Attendee List
Start Date
2023/02/22(Wed) 19:30 ~ 21:00
Registration Period

2023/02/06(Mon) 18:00 〜
2023/02/22(Wed) 21:00まで

Location

ウイングアーク1st株式会社 コラボレーションエリア

東京都港区六本木三丁目2番1号 六本木グランドタワー36階

View Map Venue Homepage
参加者への情報
(参加者と発表者のみに公開されます)

Description

イベントについて

NISC「サイバーセキュリティ月間」に合わせて初開催!
「面白かった脆弱性」について解説し合い、脆弱性に関する知識を深めるためのイベントです。

開催日時・場所

開催日時

  • 2023年2月22日(水)19:30-21:00(開場 19:00)
  • イベント終了後、軽食をご用意した交流会を開催します!

開催場所

  • ウイングアーク1st株式会社 コラボレーションエリア
    (東京都港区六本木三丁目2番1号 六本木グランドタワー36階)
  • アクセス:https://corp.wingarc.com/company/map/tokyo_access.html
  • 本イベントはオフラインのみでの開催です。配信予定はございません。予めご了承ください。

発表者募集は締め切りました!

たくさんのご応募、ありがとうございました!

イベントのルール

  • 公表済み、もしくは公表について合意済みの脆弱性のみが発表対象です。自分で見つけた脆弱性でなくてもOKです!
    • 自分で見つけていない脆弱性を自分で見つけたかのように発表する行為はNGです。

  • 参加者の方によるチラシ・ステッカーの持ち込みは大歓迎です!
    自由にチラシ・ステッカーを置くことのできる「宣伝コーナー」を会場にご用意します。

  • 本イベントは、発表者および参加者の交流・学習を目的としています。発表者による公序良俗に反した内容の発表、参加者による発表内容の悪用や曲解、その他社会通念に反する行為を固く禁じます。

  • LT中の写真撮影や発表内容のSNSへの投稿はお控えください。交流会の様子の撮影・投稿はOKです。
    • 被写体の顔が判別できる状態の写真をSNS投稿される場合、被写体の許可を得てから投稿いただくようお願いします。

タイムスケジュール

時間 lap 発表者 内容
19:00 開場
19:30 5min Security.Tokyo
井手康貴
@niconegoto
前説
19:35 10min 影白
@KageShiron
LT1「Deep in 国際化ドメイン名」
19:45 10min なお
@n_etupirka
LT2「Credential GuardをバイパスするPass-the-Challengeについて」
19:55 10min Andrew Croft (bubby963)
@bubby963
LT3「決済代行サービスの実装における検証不備を悪用」
20:05 10min 休憩
20:15 10min hhc0null
@hhc0null
LT4「Pwning Old WebKit for Fun and Profit」
20:25 10min icchy
@icchyr
LT5「React Hooksに潜む罠」
20:35 10min 小笠原啓祐
@yuluhack
LT6「一緒にプレイするだけで乗っ取り!?~任天堂のバッファオーバーフロー脆弱性~」
20:45 15min 休憩
21:00 40min 交流会
21:40 - 解散

発表紹介

LT1「Deep in 国際化ドメイン名」/影白

日本語を含む国際化ドメイン名の処理はとても複雑です。はっきりいうと、確実にURIを安全に処理できるパーサは存在しないとすら言えます。実際にFirefoxに存在したバグを含めて、URIをパースする難しさや国際化ドメインの事情を紹介します。

プロフィール

大学院でドメイン名のセキュリティについて研究。現在はWeb診断員として日々脆弱性と戦っています。

LT2「Credential GuardをバイパスするPass-the-Challengeについて」/なお

2022年末に新たに公開された「Pass-the-Challenge」と呼ばれる、Credential Guardのバイパス手法について解説します。

  1. Credential Guardの概要
  2. Pass-the-Challengeの仕組み
    (3. NetNTLMv1認証の応答値からNTLMハッシュを回復)

プロフィール

とあるセキュリティベンダのペネトレーションテスターです。
ペンテストの傍ら、趣味でAndroidアプリの脆弱性を報告したりしてます。

LT3「決済代行サービスの実装における検証不備を悪用」/Andrew Croft (bubby963)

Stripe APIの直接呼出しにより、競売で売られている商品を、最初入札額及び競売終了前に購入できた脆弱性を解説

プロフィール

Andrewは攻撃系セキュリティ検査の専門家として5年間以上の実務経験を持ち、現在はデロイトトーマツサイバー合同会社のRed Team Operations部門にてシニアスペシャリストとして活躍しております。業務外でも積極的にBug Bounty活動を行っており、高・緊急レベル脆弱性50件近くを含む計80件の脆弱性を国内外の大手企業への報告実績を持っております。

LT4「Pwning Old WebKit for Fun and Profit」/hhc0null

「古いWebKitを使っている製品にはPwn2Own等で攻撃の実績のある脆弱性がたくさんあって、ペンテスターまたはバグハンターとしては便利」という話を、wkhtmltopdf(Webアプリ等で広く使用されるPDFコンバータ)をターゲットにしたデモを交えながら話します。

https://github.com/wkhtmltopdf/wkhtmltopdfは既にPublic Archiveであり、開発終了しています。

プロフィール

ハッカーと友達になりたい

LT5「React Hooksに潜む罠」/icchy

Reactは今やフロントエンドのデファクトスタンダードと言っても過言ではありません。Reactを支えるReact Hooksの概念はシンプルな状態管理の機能を提供し、アプリケーションのパフォーマンスとメンテナンス性を両立させることに大きく貢献しています。しかしReact Hooksには必ず守らなければならない原則があり、これを守らないとバグだけでなく脆弱性を埋め込む可能性があることを認識している人は多くありません。本発表では脆弱性の原理を解説し、実際の開発で起こりうるいくつかの実装パターンについて整理します。

プロフィール

とある企業のセキュリティエンジニア。学生時代はCTFに没頭していたが、就職して以来あまり参加していない。最近の趣味は麻雀とピアノ。

LT6「一緒にプレイするだけで乗っ取り!?〜任天堂のバッファオーバーフロー脆弱性〜」/小笠原啓祐

本脆弱性をモデルケースとして初学者向けに代表的なセキュリティホールであるバッファオーバーフロー脆弱性について紹介したい。また、ある程度C++がわかる方向けに、ソースコードを参照しながらCVSS9.8(/10)のクリティカルレベルの本脆弱性-ENLBufferPwnについて、いかにしてエクスプロイトされるか、またこれをアンチパターンとしてどう設計してゆくべきかについて発表したい。

プロフィール

週末せっきゅ!という学生サークルを主催しています。CTFなどの競技系よりむしろ実際的な診断や機密情報の漏洩調査手法などの研究会的サークルです。私個人はCVEを取得すべく奮闘中です!

参加にあたってのお願い

  • 新型コロナウイルス感染症対策の観点から、以下の場合は、参加をお控えください。
    • 当日の体温が37.0℃以上の場合。
    • 激しい咳や鼻水症状が出ている場合。
  • 参加時はマスク着用と手指消毒へのご協力をお願いいたします。
  • 本イベントにはアンチハラスメントポリシーが適用されます。事前にご確認ください。
  • 勧誘・採用・宣伝目的のご参加はお断りします。

Media View all Media

If you add event media, up to 3 items will be shown here.

Feed

hikatera_

hikatera_ published Security․Tokyo #1.

02/06/2023 18:01

Group

Security․Tokyo

Number of events 3

Members 420

Ended

2023/02/22(Wed)

19:30
21:00

You cannot RSVP if you are already participating in another event at the same date.

Registration Period
2023/02/06(Mon) 18:00 〜
2023/02/22(Wed) 21:00

Location

ウイングアーク1st株式会社 コラボレーションエリア

東京都港区六本木三丁目2番1号 六本木グランドタワー36階

Attendees(70)

k-karen

k-karen

Security.Tokyo #1 に参加を申し込みました!

kuzushiki

kuzushiki

Security.Tokyo #1 に参加を申し込みました!

hiroi

hiroi

Security.Tokyo #1 に参加を申し込みました!

n01e0

n01e0

Security.Tokyo #1に参加を申し込みました!

tommy

tommy

Security.Tokyo #1に参加を申し込みました!

azara

azara

Security.Tokyo #1 に参加を申し込みました!

akroasis5150

akroasis5150

Security.Tokyo #1に参加を申し込みました!

akakou

akakou

Security․Tokyo #1に参加を申し込みました!

Tsubasa

Tsubasa

Security․Tokyo #1に参加を申し込みました!

levena_evenas

levena_evenas

Security․Tokyo #1 に参加を申し込みました!

Attendees (70)

Waitlist (21)

takuzoo3868

takuzoo3868

Security․Tokyo #1に参加を申し込みました!

kani_keisuke

kani_keisuke

Security․Tokyo #1 に参加を申し込みました!

PINKSAWTOOTH

PINKSAWTOOTH

Security․Tokyo #1に参加を申し込みました!

Makico_Hattori

Makico_Hattori

Security․Tokyo #1に参加を申し込みました!

ゆのれい

ゆのれい

I joined Security․Tokyo #1!

nrhide

nrhide

I joined Security․Tokyo #1!

yyuuta718

yyuuta718

Security․Tokyo #1に参加を申し込みました!

hogetarou

hogetarou

Security․Tokyo #1 に参加を申し込みました!

TakumaNakamura

TakumaNakamura

Security․Tokyo #1に参加を申し込みました!

u2gaw0

u2gaw0

Security․Tokyo #1に参加を申し込みました!

Waitlist (21)

Canceled (47)