Web

API adoption is on the rise across all industries
APIの人気が高まる。
サーバレスなどいろいろ目を向けなきゃね。

THE 10 MOST COMMON BUGS OF 2021 SO FAR, AND HOW TO FIND THEM!
CSRF、サブドメインテイクオーバーが多いというのは衝撃。
機密情報の漏洩を防ぐのは世界的にも難しいことになっているっぽい。

Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies
依存関係を攻撃に使うとは、全く思いつきもしなかった。

A Pentester’s Guide to WebSocket Pentesting
WebSocketテストのガイド。
いいね。

スマホ

WhatsApp – a malicious GIF that could execute code on your smartphone – Bug Bounty Reports Explained
すごい手法。
内容全くわからなかったので、じっくり調べよう。

その他

Testing and exploiting Java Deserialization in 2021
Javaのデシリアライズの記事。
ボリュームがすごい。

Google、オープンソースソフトウェアの脆弱性をバージョンごとにデータベース化する「OSV」（Open Source Vulnerabilities）プロジェクトを開始
OSSの脆弱性に関する環境がかなり整っている。
OSS-fuzz、githubのcodeqlを使えば割と効率よく探せそうな気がする。

Microsoft urges customers to patch critical Windows TCP/IP bugs
認証無しでRCEはまずいね。

Language Agnostic Security Code Review
これは便利。
はじめるきっかけとしていいかも。

Nearly Two-Thirds of CVEs Are Low Complexity
CVEは2/3が複雑度が低いものらしい。
CTFなどで習得できる高い技術力も必要だけど、現実世界ではセキュリティを活用するにはうまく落とし込む力も必要そう。
「いかに守るか」と「技術力をどう高めるか」はセキュリティに携わる人としてバランスが難しいかも。