BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//https://techplay.jp//JP
CALSCALE:GREGORIAN
METHOD:PUBLISH
X-WR-CALDESC:Security․Tokyo #1
X-WR-CALNAME:Security․Tokyo #1
X-WR-TIMEZONE:Asia/Tokyo
BEGIN:VTIMEZONE
TZID:Asia/Tokyo
BEGIN:STANDARD
DTSTART:19700101T000000
TZOFFSETFROM:+0900
TZOFFSETTO:+0900
TZNAME:JST
END:STANDARD
END:VTIMEZONE
BEGIN:VEVENT
UID:891372@techplay.jp
SUMMARY:Security․Tokyo #1
DTSTART;TZID=Asia/Tokyo:20230222T193000
DTEND;TZID=Asia/Tokyo:20230222T210000
DTSTAMP:20260430T134917Z
CREATED:20230206T141941Z
DESCRIPTION:イベント詳細はこちら\nhttps://techplay.jp/event/89137
 2?utm_medium=referral&utm_source=ics&utm_campaign=ics\n\nイベントに
 ついて\nNISC「サイバーセキュリティ月間」に合わせて
 初開催！\n「面白かった脆弱性」について解説し合い
 、脆弱性に関する知識を深めるためのイベントです。\
 n開催日時・場所\n開催日時\n\n2023年2月22日（水）19:30-21
 :00（開場　19:00）\nイベント終了後、軽食をご用意した
 交流会を開催します！\n\n開催場所\n\nウイングアーク1s
 t株式会社 コラボレーションエリア（東京都港区六本
 木三丁目2番1号　六本木グランドタワー36階）\nアクセ
 ス：https://corp.wingarc.com/company/map/tokyo_access.html\n本イベ
 ントはオフラインのみでの開催です。配信予定はござ
 いません。予めご了承ください。\n\n発表者募集は締め
 切りました！\nたくさんのご応募、ありがとうござい
 ました！\nイベントのルール\n\n公表済み、もしくは公
 表について合意済みの脆弱性のみが発表対象です。自
 分で見つけた脆弱性でなくてもOKです！\n自分で見つけ
 ていない脆弱性を自分で見つけたかのように発表する
 行為はNGです。\n\n\n参加者の方によるチラシ・ステッ
 カーの持ち込みは大歓迎です！自由にチラシ・ステッ
 カーを置くことのできる「宣伝コーナー」を会場にご
 用意します。\n本イベントは、発表者および参加者の
 交流・学習を目的としています。発表者による公序良
 俗に反した内容の発表、参加者による発表内容の悪用
 や曲解、その他社会通念に反する行為を固く禁じます
 。\nLT中の写真撮影や発表内容のSNSへの投稿はお控えく
 ださい。交流会の様子の撮影・投稿はOKです。\n被写体
 の顔が判別できる状態の写真をSNS投稿される場合、被
 写体の許可を得てから投稿いただくようお願いします
 。\n\n\n\nタイムスケジュール\n\n\n\n時間\nlap\n発表者\n内
 容\n\n\n\n\n19:00\n\n\n開場\n\n\n19:30\n5min\nSecurity.Tokyo井手康
 貴@niconegoto\n前説\n\n\n19:35\n10min\n影白@KageShiron\nLT1「Deep i
 n 国際化ドメイン名」\n\n\n19:45\n10min\nなお@n_etupirka\nLT2
 「Credential GuardをバイパスするPass-the-Challengeについて」
 \n\n\n19:55\n10min\nAndrew Croft (bubby963)@bubby963\nLT3「決済代行
 サービスの実装における検証不備を悪用」\n\n\n20:05\n10m
 in\n\n休憩\n\n\n20:15\n10min\nhhc0null@hhc0null\nLT4「Pwning Old WebKi
 t for Fun and Profit」\n\n\n20:25\n10min\nicchy@icchyr\nLT5「React Hook
 sに潜む罠」\n\n\n20:35\n10min\n小笠原啓祐@yuluhack\nLT6「一
 緒にプレイするだけで乗っ取り！？～任天堂のバッフ
 ァオーバーフロー脆弱性～」\n\n\n20:45\n15min\n\n休憩\n\n\n
 21:00\n40min\n\n交流会\n\n\n21:40\n-\n\n解散\n\n\n\n発表紹介\nLT
 1「Deep in 国際化ドメイン名」／影白\n日本語を含む国
 際化ドメイン名の処理はとても複雑です。はっきりい
 うと、確実にURIを安全に処理できるパーサは存在しな
 いとすら言えます。実際にFirefoxに存在したバグを含め
 て、URIをパースする難しさや国際化ドメインの事情を
 紹介します。\nプロフィール\n大学院でドメイン名のセ
 キュリティについて研究。現在はWeb診断員として日々
 脆弱性と戦っています。\nLT2「Credential Guardをバイパス
 するPass-the-Challengeについて」／なお\n2022年末に新たに
 公開された「Pass-the-Challenge」と呼ばれる、Credential Guard
 のバイパス手法について解説します。\n\nCredential Guard
 の概要\nPass-the-Challengeの仕組み \n(3. NetNTLMv1認証の応答
 値からNTLMハッシュを回復)\n\nプロフィール\nとあるセ
 キュリティベンダのペネトレーションテスターです。\
 nペンテストの傍ら、趣味でAndroidアプリの脆弱性を報
 告したりしてます。\nLT3「決済代行サービスの実装に
 おける検証不備を悪用」／Andrew Croft (bubby963)\nStripe API
 の直接呼出しにより、競売で売られている商品を、最
 初入札額及び競売終了前に購入できた脆弱性を解説\n
 プロフィール\nAndrewは攻撃系セキュリティ検査の専門
 家として5年間以上の実務経験を持ち、現在はデロイト
 トーマツサイバー合同会社のRed Team Operations部門にてシ
 ニアスペシャリストとして活躍しております。業務外
 でも積極的にBug Bounty活動を行っており、高・緊急レベ
 ル脆弱性50件近くを含む計80件の脆弱性を国内外の大手
 企業への報告実績を持っております。\nLT4「Pwning Old Web
 Kit for Fun and Profit」／hhc0null\n「古いWebKitを使っている
 製品にはPwn2Own等で攻撃の実績のある脆弱性がたくさん
 あって、ペンテスターまたはバグハンターとしては便
 利」という話を、wkhtmltopdf（Webアプリ等で広く使用さ
 れるPDFコンバータ）をターゲットにしたデモを交えな
 がら話します。\n※ https://github.com/wkhtmltopdf/wkhtmltopdfは
 既にPublic Archiveであり、開発終了しています。\nプロフ
 ィール\nハッカーと友達になりたい\nLT5「React Hooksに潜
 む罠」／icchy\nReactは今やフロントエンドのデファクト
 スタンダードと言っても過言ではありません。Reactを
 支えるReact Hooksの概念はシンプルな状態管理の機能を
 提供し、アプリケーションのパフォーマンスとメンテ
 ナンス性を両立させることに大きく貢献しています。
 しかしReact Hooksには必ず守らなければならない原則が
 あり、これを守らないとバグだけでなく脆弱性を埋め
 込む可能性があることを認識している人は多くありま
 せん。本発表では脆弱性の原理を解説し、実際の開発
 で起こりうるいくつかの実装パターンについて整理し
 ます。\nプロフィール\nとある企業のセキュリティエン
 ジニア。学生時代はCTFに没頭していたが、就職して以
 来あまり参加していない。最近の趣味は麻雀とピアノ
 。\nLT6「一緒にプレイするだけで乗っ取り！？〜任天
 堂のバッファオーバーフロー脆弱性〜」／小笠原啓祐\
 n本脆弱性をモデルケースとして初学者向けに代表的な
 セキュリティホールであるバッファオーバーフロー脆
 弱性について紹介したい。また、ある程度C++がわかる
 方向けに、ソースコードを参照しながらCVSS9.8(/10)のク
 リティカルレベルの本脆弱性-ENLBufferPwnについて、いか
 にしてエクスプロイトされるか、またこれをアンチパ
 ターンとしてどう設計してゆくべきかについて発表し
 たい。\nプロフィール\n週末せっきゅ！という学生サー
 クルを主催しています。CTFなどの競技系よりむしろ実
 際的な診断や機密情報の漏洩調査手法などの研究会的
 サークルです。私個人はCVEを取得すべく奮闘中です！\
 n参加にあたってのお願い\n\n新型コロナウイルス感染
 症対策の観点から、以下の場合は、参加をお控えくだ
 さい。\n当日の体温が37.0℃以上の場合。\n激しい咳や
 鼻水症状が出ている場合。\n\n\n参加時はマスク着用と
 手指消毒へのご協力をお願いいたします。\n本イベン
 トにはアンチハラスメントポリシーが適用されます。
 事前にご確認ください。\n勧誘・採用・宣伝目的のご
 参加はお断りします。\n
LOCATION:ウイングアーク1st株式会社 コラボレーションエ
 リア 東京都港区六本木三丁目2番1号　六本木グランド
 タワー36階
URL:https://techplay.jp/event/891372?utm_medium=referral&utm_source=ics&utm
 _campaign=ics
END:VEVENT
END:VCALENDAR