Issue 4
🗞️ Article A story of three CVE’s in Ubuntu Desktop Understanding and mitigating CVE-2020-8566: Ceph cluster admin credentials leaks in kube-controller-manager log Introducing Semgrep and r2c Abusing Teams client protocol to bypass Teams security policies Introducing KubeLinter - an open source linter for Kubernetes Security hardening for GitHub Actions 🧰 Tools LloydLabs/wsb-detect 💣 CVE CVE-2020-8551: Kubelet resource exhaustion attack via metric label cardinality explosion from unauthenticated requests CVE-2020-8553: Compromise of auth via subset/superset namespace names.
Issue 3
🗞️ Article The State of Messaging Security 2020: メールおよびメッセージングアプリのセキュリティプロトコルの現在 CVE-2020-15157 “ContainerDrip” Write-up Discord デスクトップアプリの RCE GitHub - RCE via git option injection (almost) - \$20,000 Bounty GitHub Gist - Account takeover via open redirect - \$10,000 Bounty GitHub Pages - Multiple RCEs via insecure Kramdown configuration - \$25,000 Bounty SECRET FRAGMENTS: REMOTE CODE EXECUTION ON SYMFONY BASED WEBSITES Deprecating document.domain Chrome の新しいパスワード保護とその他の情報 table_to_xml 関数と SQL インジェクション 💣 CVE CVE-2020-15136 : Gateway TLS authentication only applies to endpoints detected in DNS SRV records CVE-2020-16845 : encoding/binary: ReadUvarint and ReadVarint can read an unlimited number of bytes from invalid inputs 🧰 Tools moloch–/burp-multiplayer msrkp/PPScan Cloud Security Tools 💰 BugBounty 🚚 Intent to Ship Anchor target=_blank implies rel=noopener by default Treat localhost addresses as “Potentially Trustworthy” Intent to Extend Origin Trial: Trust Token API 🗞️ Article The State of Messaging Security 2020: メールおよびメッセージングアプリのセキュリティプロトコルの現在 https://github.
Issue 2
🗞️ Article Edge のセキュリティリサーチブログ CVE-2020-25779: Punycode を使った Web Threat Protection のバイパス HackerOne への Credential Stuffing 攻撃 Firebase のセキュリティの考察 Chrome 86 で Mixed Contents な画像を自動アップグレードするように Zero Touch Production とは何か Dockerfile Security Best Practices Kubernetes AWS IAM Authenticator の問題 🧰 Tools Hashicorp Boundary hashicorp/vault-lambda-extension 💣 CVE CVE-2020-16120 - incorrect unprivileged overlayfs permission checking CVE-2020-8563 ~ 8566 - Kubernetes でログに secret が表示される複数の脆弱性 💰 BugBounty 🗞️ Article Edge のセキュリティリサーチブログ https://microsoftedge.
Issue 1
🗞️ Articles GitHub Code Scanning にサードパーティのセキュリティツールが追加 Azure App Service における LFI と RCE Apple で見つかった脆弱性についてのレポート ソースコードから脆弱性を見つけるための Word について DOMPurify のバイパス Hashicorp Vault の認証バイパスに関する脆弱性 AWS Access Key のフォーマットについて *google.com 上の CSRF について Cloudflare の API Shield について OAuth2.0 のセキュリティベストプラクティスに関する文書 EKS Pod Identity Webhook の仕組み ZeroTrust の原則や作り方についての文書 The state of Container Security in Red Hat Experience 🧰 Tools mxrch / GHunt Portshift/kubei Offensive Terraform filedescripter/Unicode-Mapping-on-Domain-names 💣 CVE CVE-2020-25613 : WEBrick における HTTP Reuqest Smuggling CVE-2020-15237 : Shrine における derivation_endpoint でのタイミング攻撃 CVE-2020-8264 : Action Pack における XSS 💰 BugBounty 🚚 Intent to Ship 🗞️ Articles GitHub Code Scanning にサードパーティのセキュリティツールが追加 Announcing third-party code scanning tools: infrastructure as code and container scanning - The GitHub Blog