イベントについて

2023年9月に続き、3回目の開催！
「面白かった脆弱性」について解説し合い、脆弱性に関する知識を深めるためのイベントです。

※このイベントは有志によるコミュニティが運営しています。

開催日時・場所

開催日時

• 2024年2月22日（木）19:30-21:40（開場　19:00）
• LT終了後、軽食をご用意した交流会を開催します！
  
  

開催場所

• 株式会社タイミー / タイミー広場 (東京都港区東新橋1丁目5-2 汐留シティセンター35階)
• アクセス：JR「新橋駅」より徒歩3分、都営大江戸線「汐留駅」より徒歩1分
  
  https://maps.app.goo.gl/wBmaR735Qcvx8Uqe9
  ※本イベントはオフラインのみでの開催です。配信予定はございません。予めご了承ください。
  
  

受付

• 会場の受付スペースの都合上、同時に受付可能な人数が限られております。お早めのご来場をお願いします。
• 20時以降の受付は原則対応いたしませんので、予めご了承の上お申し込みください。

発表者募集

イベント当日に「面白かった脆弱性」について発表してくれる方を募集します！

＜発表ルール＞

• LTは一人10分です。
• 発表は日本語もしくは英語でお願いします。英語での発表の場合、通訳等のサポートはございませんので予めご了承ください。
• 発表する脆弱性は、すでに公表済みのもの、もしくは開示許可の出ているものに限ります。
• 自分で見つけた脆弱性でなくてもOKですが、自分で見つけていない脆弱性を自分で見つけたかのように発表する行為はNGです。
• 発表順は基本的にランダムですが、ご都合に応じて発表順の調整も可能です。調整が必要な場合はお申し付けください。
  
  

発表をご希望の方は以下のフォームよりお申し込みをお願いします。
募集期間：イベント公開日～1/31（水）
（応募者多数の場合は、審査を行います。2/8（木）までに主催より審査結果をご連絡します。）

▼発表者エントリーはこちらから！▼
https://forms.gle/EHUJAFWYkNpAShQC9

イベントのルール

• 本イベントは、発表者および参加者の交流・学習を目的としています。発表者による公序良俗に反した内容の発表、参加者による発表内容の悪用や曲解、その他社会通念に反する行為を固く禁じます。

• LT中の写真撮影や発表内容のSNSへの投稿はお控えください。交流会の様子の撮影・投稿はOKです。なお、被写体の顔が判別できる状態の写真をSNS投稿される場合、被写体の許可を得てから投稿いただくようお願いします。

• 参加者の方によるチラシ・ステッカーの持ち込みは大歓迎です！自由にチラシ・ステッカーを置くことのできる「宣伝コーナー」を会場にご用意します。

タイムスケジュール

招待講演: 注目したいクライアントサイドの脆弱性n選(仮)

発表者: Masato Kinugawa

XSSが好き。Pwn2Own winner (Vancouver 2022)。
2016年よりCure53で脆弱性診断。
X: @kinugawamasato

LT紹介

LT1 「"違和感" から見つける脆弱性」

フレームワークには、直感的でない仕様がしばしば存在します。今回はそんな仕様に違和感を覚えてから、フレームワークの間違った利用方法によって引き起こされる脆弱性を発見するまでの経緯について話します。

発表者：y0d3n

プロフィール: 2023年に情報科学専門学校を卒業後、GMOサイバーセキュリティ byイエラエ株式会社で脆弱性診断をしています。週末はCTFでWeb問を解いています。
X: https://twitter.com/y0d3n

LT2「クラウド時代のファイルアップロードセキュリティ」

パブリッククラウドが用いられるようになった現代では、S3のpresigned URLを利用したObject Storageへのファイルアップロードが活用されています。しかし、Object Storageにおいては、任意のContent-Typeを保存する機能が存在するため、ブラウザが解釈可能な形式でファイル配信が行えます。そこで、本発表ではRubyエコシステムで人気のライブラリであるCarrierwaveの脆弱性(CVE-2023-49090)でのケーススタディなどを通して、Object Storageへのファイルアップロードの際に考慮するべきセキュリティ観点を論じます。

発表者：ei

鹿児島大学大学院修了後、2021年4月に株式会社Flatt Securityに入社。セキュリティエンジニアとして、主にWebアプリケーション診断とスマートフォンアプリケーション診断を担当している。過去にセキュリティキャンプ関連イベントに関わっていたため、ハードウェアからソフトウェアまで幅広く興味がある。趣味は脆弱性調査と筋トレ。
X: https://twitter.com/ei01241

発表者：Azara

学生時代より、開発やセキュリティに関する業務に携わり、2020年に情報科学専門学校卒業後、株式会社Flatt Securityに入社。現在はセキュリティエンジニアとして、主にWebアプリケーションやパブリッククラウドを対象としたセキュリティ診断を担当。ISOG-J WG1などの外部団体での活動も行っている。
X: https://twitter.com/a_zara_n

スポンサー

運営スポンサー

Japan HackerOne Club(@Hacker0x01)／株式会社Flatt Security(@flatt_security)

会場スポンサー：株式会社タイミー

タイミーは「働きたい時間」と「働いてほしい時間」をマッチングするスキマバイトサービスです。 「『働く』を通じて人生の可能性広げるインフラをつくる」というミッションを実現するため、サービスの持続可能性の探究と実現を目指し開発・運用に勤しんでいます。 未来のことを考えて漸進的に改善がなされる自律的で小さなチームを実現し、サービス開発を推進していきたいエンジニアを募集中です！

参加にあたってのお願い

• 新型コロナウイルス感染症対策の観点から、当日の体温が37.0℃以上の場合や激しい咳や鼻水症状が出ている場合は参加をお控えください。
• 勧誘・採用目的のご参加はお断りします。
• キャンセルを行う場合は、可能な限りお早めにお願いします。
• キャンセル待ちの方もいらっしゃるため、当日キャンセルはなるべくお控えいただけますと幸いです。