Issue 14

🗞️ Articles Dependabot でプライベートな依存パッケージもアップデートできるように 依存パッケージがプライベートリポジトリにある場合でも GitHub Personal Access Token を設定することで、Dependabot で更新ができるようになった。 GitHub で発生したセッションの Race Condition の解説 3⁄8 に GitHub で発生したセッションの Race Condition の原因と対策までの詳細なレポート。 Unicorn がリクエストごとに HTTP リクエストデータを持つ env オブジェクトを生成しないため、スレッドセーフではなくなり、Race Condition を引き起こしてしまった模様。 各種クラウドサービスの攻撃手法がまとめられたドキュメント AWS / Azure / GCP での攻撃手法がまとめられたドキュメント。 OWASP Docker Security Cheat Sheet OWASP から Docker のセキュリティについてまとめた Docker Security Cheat Sheet が公開。 OWASP Kubernetes Security Cheat Sheet https://cheatsheetseries.

Issue 13

🗞️ Articles QEMU の VirtFS 機能における Race Condition の脆弱性 CVE-2021-20181 の技術的解説 QEMU の Host と Guest 間のファイル共有機能である VirtFS の Race Condition の解説。この脆弱性によって QEMU プロセスのダウンや、権限昇格の可能性がある。 GitHub の各種トークンのフォーマットが変更 GitHub の Personal Access Token や GitHub App などの各種認証トークンのフォーマットが変更される予定。 変更内容は下記の通り。 利用される文字種が [a-f0-9] から [A-Za-z0-9_] に変更。つまり、大文字が含まれるようになる。 各トークンには次のような Prefix がつく Personal Access Token には gp1_ OAuth Access Token には go1_ GitHub App user-to-server Token には gu1_ GitHub App server-to-server Token には gs1_ GitHub App refresh Token には gr1_ Prefix がつくことにより、git-secrets などのクレデンシャル検知ツールによる検知が容易になる。

Issue 12

🗞️ Articles Software Design 2021 年 4 月号 Fedora CoreOS とセキュリティのお蔵入りネタ Software Design 2021 年 4 月号で割愛されたトピックについて紹介。NIST SP 800-190 で定義されているセキュリティの基準やコンテナで利用される Linux カーネルの技術について。 developer-guy/policy-as-code-war Policy as Code の概要と Gatekeeper / Kyverno の違いついて学べるチュートリアル。 Top 10 web hacking techniques of 2020 PortSwigger による 2020 年度の Top 10 (novel) Web Hacking Techniques が発表。 Kubernetes Pod Security Policy Deprecation: All You Need to Know https://blog.

Issue 11

🗞️ Articles プロセス情報をデタラメにする攻撃「Process Herpaderping」の内部構造を紐解く プロセスの実体を置き換えて、パラメータを変更することでプロセス情報を偽装する Process Herpaderping と呼ばれる手法についての解説。 Burp Suite Professional: become an early adopter Burp Suite Professional に実験的なリリースアップデートを受け取れる Early Adopter チャンネルが提供されている。 [User options] > [Misc] > [Update [installer versions only]] から変更が可能。 Middleware, middleware everywhere - and lots of misconfigurations to fix nginx の設定ミスによって生じる複数の脆弱性について。 proxy_pass の値を攻撃者が上書きできる場合、Redis のソケットを利用してキーの操作や取得が可能である事例なども紹介。 Using eBPF to uncover in-memory loading eBPF を利用することで pipe に渡されたデータ(つまり、メモリ内でロードされているデータ)も監視できるため、マルウェアの検知に利用できるという例。

Issue 10

🗞️ Articles Lunascape と Sleipnir に報告した脆弱性の話(スマホアプリではとにかく HTTPS を使え 2021) Guest Blog Post: Good First Steps to Find Security Bugs in Fenix (Part 2) Launching OSV - Better vulnerability triage for open source Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies 3 Ways to Mitigate Risk When Using Private Package Feeds Attacking Kubernetes clusters using the Kubelet API Defending Infrastructure as Code in GitHub Enterprise 🧰 Tools google/kctf palantir/policy-bot 💣 CVE CVE-2021-22880 : Possible DoS Vulnerability in Active Record PostgreSQL adapter CVE-2021-22881 : Possible Open Redirect in Host Authorization Middleware CVE-2021-21288 : Server-side request forgery in CarrierWave CVE-2021-21305 : Code Injection vulnerability in CarrierWave::RMagick 🗞️ Articles Lunascape と Sleipnir に報告した脆弱性の話(スマホアプリではとにかく HTTPS を使え 2021) https://gist.

Issue 9

🗞️ Articles 0day Exploit Root Cause Analyses Project Zero が実際に利用された 0-day exploit について調査を行い、まとめている。 Running the CIS for GKE compliance profile with InSpec InSpec を仕様して GKE クラスタが CIS ベンチマークに準拠しているか調べる方法について。 Intercept SSM Agent Communications AWS SSM Agent の通信を盗聴し、割り込む方法について。 Better OKRs for Security through Effective Threat Modeling OKR が AppSec プログラムの目標達成にも利用できることについて。特に、脅威モデリングを利用して Objective / Key Result を決めることができる点について述べている。 Gating Access to Kubernetes API & Workloads with HashiCorp Boundary https://www.

Issue 8

🗞️ Article DNSpooq の脆弱性詳細と攻撃コード解説 Observability and Security of Fargate Serverless Deployments | by Dr. Swarup Kumar Sahoo | Deepfence Cloud Native Security | Jan, 2021 | Medium Burp Suite roadmap for 2021 | Blog - PortSwigger The Secret Parameter, LFR, and Potential RCE in NodeJS Apps New campaign targeting security researchers コンテナレジストリの可用性を高める取り組み - Cybozu Inside Out | サイボウズエンジニアのブログ Open Web Docs - Open Collective 最恐ウイルス Emotet をテイクダウンした Operation Ladybird についてまとめてみた - piyolog NAT Slipstreaming v2.

Issue 7

🗞️ Article Command PATH security in Go Bad Pods: Kubernetes Pod Privilege Escalation Falco vs. AuditD from the HIDS perspective Cache poisoning in popular open source packages GitHub security features: highlights from 2020 A Glossary of Blind SSRF Chains – Assetnote On Web-Security and -Insecurity: Insecure Features in PDFs The Embedded YouTube Player Told Me What You Were Watching 本物のウェブアクセスログを使用した、機械学習による異常検知(全データ/ソースコード公開) - WAF Tech Blog | クラウド型 WAF サービス Scutum 【スキュータム】 KindleDrip — From Your Kindle’s Email Address to Using Your Credit Card | by Yogev Bar-On | Realmode Labs | Jan, 2021 | Medium 💣 CVE CVE-2021-21263 Query Binding Exploitation in Laravel 📗 Book Software Design 2021 年 2 月号 🗞️ Article Command PATH security in Go https://blog.

Issue 6

🗞️ Article Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues AWS credentials being sent to What the hell? : serverless Stealing Your Private YouTube Videos, One Frame at a Time | - xdavidhu’s bug bounty writeups. Guest Blog Post: Leaking silhouettes of cross-origin images – Attack & Defense 2020 年になってもシグネチャ依存型の WAF が多いのはなぜか? - WAF Tech Blog | クラウド型 WAF サービス Scutum 【スキュータム】 Sysdig 2021 container security and usage report: Shifting left is not enough | Sysdig Laravel <= v8.

Issue 5

🗞️ Article Abusing Slack for Offensive Operations AWS Config ConformancePack Collections NAT Slipstreaming Vault Recommended Patterns 🧰 Tools lightspin-tech/red-kube LanikSJ/dfimage 💣 CVE CVE-2020-13935 : Apache Tomcat WebSocket DoS CVE-2020-15228 : Github: Widespread injection vulnerabilities in Actions 💰 BugBounty ‘unsafe-eval’ in CSP is not properly enforced for default-src ‘self’ no user interaction: URL spoofing using blob + @ (iOS) Rocket.Chat Desktop App RCE GitLab-Runner on Windows DOCKER_AUTH_CONFIG container host Command Injection 🚚 Intent to Ship Block HTTP(s) requests to SIP ports 5060, 5061 🗞️ Article Abusing Slack for Offensive Operations https://posts.