2023 年の第 3 週に読んだおすすめの記事を紹介します。
今週読んだおすすめ記事
- The Danger of Falling to System Role in AWS SDK Client · Doyensec's Blog
- 実際にサーバーサイドの SDK の利用方法によっては発生しうる攻撃だなと感じた
- ホワイトボックス的に見る場合はここら辺のクライアントの初期化と例外処理に関して目を向けても良さそう
Security 関連で読んだ記事
Web
- Rack の脆弱性対応を! (CVE-2022-44570,CVE-2022-44571,CVE-2022-44572)
- How I Pwned 10 Admin Panels and got rewarded 8000$+?
- Making HTTP header injection critical via response queue poisoning | PortSwigger Research
- Client Side Path Traversal
- メモ: SameSite 内でのリダイレクトとかと組み合わせると結構いかつそう
- The great SameSite confusion :: jub0bs.com
- Persistent PHP payloads in PNGs: How to inject PHP code in an image –
- A Magic Way of XSS in HTTP/2 - 跳跳糖
Cloud
- https://www.hexacon.fr/slides/Hacking-the-Cloud-With-SAML.pdf
- 近年のゼロトラストの流れで IdP への連携で SAML を利用することが多くなったので少し読んでみた
- 確かに既知の脆弱性をチェーンさせていくことで SAML 認証の突破や改ざんをすることも考えた方が良さそう
- Golden SAML Attack
- 発表のタイトル的にこっちの系統の話かなと思ったけど違ったというのはまた別の話
- Incident report: stolen AWS access keys - Expel
- インシデントレポート
Mobile (iOS)
infrastructure
この週は読んでいた記事に Kaminsky Attack 関連が多かったのでおさらい的に
- Kaminsky Attack を試してみた - Qiita
- Melting the DNS Iceberg: Taking over your infrastructure Kaminsky style
- Forgot password? Taking over user accounts Kaminsky style
Tool
Cloud
- How to revoke federated users’ active AWS sessions | AWS Security Blog
- Self-paced digital training on AWS - AWS Skill Builder
開発 / 運用
- microCMS の Web フロントエンドにクリーンアーキテクチャを採用した話【前編】 | microCMS ブログ
- 『ドメイン駆動設計』の解説記事を書きました - ソフトウェア設計を考える
- Electron ライクな新フレームワーク「Gluon」登場。Chromium 内蔵せず Web ブラウザを利用、Node.js だけでなく Deno と Bun にも対応 - Publickey
- テストコードの自動生成
- EDA Visuals
- この人のビジュアル系の技術要素のまとめは大変視覚的に覚えやすい
その他
- ざっくり把握してもらう際に読んでもらうと良さそう
変更履歴
- 初稿: 2023-01-23 22:00
Obsidian Tags : #blog #letter