Norihide Saito / Azara

プロフィール画像2
2be8d1bee94b0d0668a302f72b1a39f5.png
プロフィール画像
2be8d1bee94b0d0668a302f72b1a39f5.png
事業部
プロフェッショナルサービス事業部
自己紹介
学生時代より、開発やセキュリティに関する業務に携わり、2020年に情報科学専門学校卒業後、株式会社Flatt Securityに入社。 現在はセキュリティエンジニアとして、主にWebアプリケーションやパブリッククラウドを対象としたセキュリティ診断を担当。ISOG-J WG1などの外部団体での活動も行っている。
役職
セキュリティエンジニア
入社区分
新卒

インタビュー記事

実績

技術ブログ
6
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
技術ブログ
Flatt Security Blog
会社の支援制度を活用し、BSides Las Vegasで海外登壇に初挑戦しました!
技術ブログ
Flatt Security Blog
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点
技術ブログ
Flatt Security Blog
JAWS DAYSで150人に聞いた!AWSのセキュリティ課題ランキング
技術ブログ
Flatt Security Blog
BlackHat USA 2023 / DEF CON 31 / BSides Las Vegasに会社の研修制度を使って参加してきました!
技術ブログ
Flatt Security Blog
EDoS Attack: クラウド利用料金でサービスを止められるって本当?
技術ブログ
Flatt Security Blog
AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性
Magazine
3
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
Magazine
#FlattSecurityMagazine
初参加から3年で講師に!セキュリティ・ミニキャンプ in 東京2023登壇の舞台裏
Magazine
#FlattSecurityMagazine
情シスからセキュリティエンジニアになるには? みんなCVE取得してる?【セキュリティエンジニアだけど何か質問ある?】
Magazine
#FlattSecurityMagazine
セキュリティエンジニアは楽しい? 儲かる? 一番印象に残っている脆弱性は?【セキュリティエンジニアだけど何か質問ある?】
カンファレンス
6
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
カンファレンス
Cloud Operator Days Tokyo 2024
本当にやりがちな「AWSのIAM運用アンチパターン」10本ノック
カンファレンス
BSides Las Vegas
Are you content with our current attacks on Content-Type?
カンファレンス
Cloud Operator Days Tokyo 2024
本当にやりがちな「AWSのIAM運用アンチパターン」10本ノック
カンファレンス
BSides Tokyo
XSS using dirty Content-Type in cloud era
カンファレンス
Network Security Forum 2024
ISOG-J WG1 新技術に対する診断手法分科会の運営と診断技術のご紹介
カンファレンス
AWS Dev Day 2023 Tokyo
Amazon S3・Amazon Cognito・AWS Lambdaのアンチパターンで学ぶセキュリティ・バイ・デザイン
スライド公開時に差し替え予定
CTF
4
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
CTF
Flatt Security mini CTF in CTO協会
CTF
Security-JAWS DAYS
AWS CTF
作問メンバーとして参加 WriteUpスライド公開時に差し替え予定
資料
2
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
資料
日本セキュリティオペレーション事業者協議会 WG-1新技術に対する診断手法分科会
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント
執筆メンバーとして参加
資料
Cloud Security for Enterprise パブリッククラウド特有の脅威の向き合い方
Cloud Security for Enterprise パブリッククラウド特有の脅威の向き合い方
執筆メンバーとして参加
勉強会
6
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
勉強会
とある海豹とSecurity-JAWS #01
勉強会
鹿児島県サイバーセキュリティ協議会主催の勉強会
『クラウド環境における脅威とセキュリティ対策』
勉強会
セキュリティ・ミニキャンプ in 東京 2023
コンテキストを読み解き進めるモダンWebセキュリティ入門
インタビュー公開と同時に差し替え予定(スライドをどこに置こうかと考えてます)
勉強会
セキュリティ・キャンプ全国大会 2021 オンライン
分散アーキテクチャ時代におけるWebシステムの開発と運用
仲山昌宏氏とともに講師
勉強会
モブセキュリティ 第5回LT大会
"ざっくり"話すAWS IAMの特権昇格の考え方と対策
勉強会
Security-JAWS #20
Serverless applicationとセキュリティ〜Cognito編〜
CVE
9
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
CVE
CVE-2024-29034
Content-Typeの許可リスト回避が依然として可能であることに起因したXSS
CVE
CVE-2023-46699
ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ
CVE
CVE-2023-49119
img タグによる格納型クロスサイトスクリプティング
CVE
CVE-2023-50175
アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング
CVE
CVE-2023-50294
アプリ設定 (/admin/app) における Secret access key の平文表示
CVE
CVE-2023-50332
ユーザー管理 (/admin/users) における不適切な認可
CVE
CVE-2023-50339
セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング
CVE
CVE-2023-49090
Content-Type 許可リストのバイパスとXSS(クロスサイトスクリプティング)の可能性
CVE
CVE-2020-5682
Denial of Service (DoS) in GROWI
その他
2
日付
カテゴリ
イベントやメディアなど
発表や記事のタイトル
URL
備考
その他
セキュリティ・ミニキャンプ in 北海道 2024
セキュアなサーバレスアプリケーションをつくろう - AWS編
その他
セキュリティ・キャンプ2024全国大会
設計・開発・テストにおけるセキュリティの実践と考え方を知ろう