日々収集した情報について、分析・検証した内容を公開しています。
Webレースコンディションは「タイミング勝負で不安定」という印象から、限られた典型パターンに議論が偏りがちでした。PortSwiggerの研究は、アプリケーションの状態遷移(ステートマシン)そのものに着目し、ワークフローの複雑さ・ツール不足・ネットワークジッタが潜在的な攻撃面を覆い隠してきた点を整理したうえで、より再現性高く“衝突”を作る考え方と技術を提示します。
PortSwigger Researchの記事を元に、見落とされがちな攻撃クラスを対象にした研究用の自動化(カスタムスキャナ)をどう設計・実装・検証していくかを整理する。Burp Scannerの「Custom scan checks」を題材に、検出ロジックの作り方、スキャンへの組み込み、テストの回し方までを研究自動化の観点で解説する。
PortSwigger Researchが公開した「単一パケット攻撃(single-packet attack)」は、HTTP/2の複数リクエストを単一のTCPパケットで完了させることで、遠隔からでもネットワークジッターの影響を小さくし、Webのレースコンディションを狙いやすくするという発想の手法です。従来は“遠隔ゆえの揺らぎ”が成功率を下げがちだった競合系の脆弱性に対して、攻撃の再現性を押し上げうる点が重要です。
PortSwigger Researchが公開した「Blind CSS Exfiltration: exfiltrate unknown web pages」をもとに、CSS注入を足掛かりに“画面が見えない(blind)状態”でも段階的に情報を外部へ送れるという攻撃クラスの要点を整理する。発表スライドで示された論点(CSS攻撃の歴史、blind exfiltration、検知、CSSでの抽出、:has、複数background等)を軸に、関連研究(Inline Style Exfiltration、広告ブロッカー悪用)や講演も合わせて位置づける。
セキュリティ研究は失敗の連続であり、小さく確実な前進と、うまくいくか分からない大胆な試行の間で揺れ動く——。PortSwigger Researchの記事は、その前提に立ったうえで、Bambdasという“HTTPの見え方”を変える道具立てを手掛かりに、埋もれた違和感のあるエンドポイントへ辿り着く考え方を描く。
PortSwigger Research が公開した「Top 10 web hacking techniques of 2023 - nominations open」は、1年を通じて共有されたWebセキュリティ研究をコミュニティの推薦で集約し、注目すべき成果を可視化する年次企画である。記事内の更新告知や関連年次ページから、この取り組みが継続的に運営され、研究者・実務者双方の参照点になっていることが読み取れる。
PortSwigger Researchの記事を元に、Javaがソースコード中のUnicodeエスケープを扱う際に起きうる直感に反した挙動と、それを利用したペイロード隠蔽(コードレビューや目視検査の回避)という観点を整理する。併せて、エンコーディングを使った難読化がWebセキュリティの現場でどう位置づけられるか、そして難読化は万能ではない点も確認する。
PortSwigger Researchが毎年公開している「Top 10 Web Hacking Techniques」シリーズの2023年版(第17回)を手がかりに、どのような観点で“必読のWebセキュリティ研究”が集約され、読者が何を読み取れるのかを整理する。
PortSwigger Researchが紹介した「フォームハイジャックによるCSPバイパス」を手がかりに、CSPが厳格に見えてもフォーム送信先の制御が甘いと情報流出に直結し得る点を整理する。攻撃の成立条件を“やり方”ではなく“原因”として理解し、`form-action` を中心に設計・運用で潰す観点をまとめた。
HTTPデシンク(request smuggling/desync)系の脆弱性は見つけても、前提条件が複雑で「実運用では刺さらない」と判断されがちです。PortSwigger ResearchはHTTPのTRACEメソッドを手がかりに、そうした制約をほどき、攻撃を成立させやすくする新しい悪用テクニックを提示しています。関連するPortSwiggerの解説と合わせて、デシンクが起きる原理、TRACEが効く場面の考え方、検証時に押さえるべき注意点を整理します。
PortSwigger Researchが公開したBurp Suite拡張「SignSaboteur」は、署名付きWebトークンの編集・署名・検証・攻撃(テスト)を支援するツールとして紹介されている。JWTに代表される署名付きトークンはWebの認証・認可で広く使われる一方、実装や検証の手間がかかりやすい。本記事では、元ソースの内容を軸に、何が便利になり得るのか、セキュリティ検証の観点でどこに注意すべきかを整理する。
PortSwigger Researchの「Refining your HTTP perspective, with bambdas」を元に、HTTPリクエスト/レスポンスを開いた瞬間に何を見るかという“癖”を見直し、Burp Suite上でのトラフィック観察をより目的志向に整える考え方を整理する。カスタムフィルタを記述できるbambdasの位置づけと、公式ドキュメント・関連投稿が示す周辺文脈もあわせてまとめる。
PortSwigger Researchが公開したXSSチートシート更新では、コミュニティ(Mozillaを含む)からの知見を反映し、動作しなくなったイベントの整理と、特定環境で有効になり得る“エキゾチック”なイベントの追加が行われた。攻撃手法の収集ではなく、挙動差の理解と防御検証の精度を上げる観点でアップデートを読み解く。
PortSwigger Researchが、Black Hat USAとDEF CON 32の両方で公開される3本の研究リリースを予告した。元記事と当事者発信の補足ソースを手がかりに、現時点で読み取れるポイントと、続報を追う際の実務的な見方を整理する。
PortSwigger Researchが紹介する「Fickle PDFs」は、同じPDFでも閲覧環境によって表示結果が変わり得る点を突き、承認フローや会計処理をすり抜けるリスクを示す。請求書の合計金額がSafari/Previewでは£399に見える一方、別環境では異なる表示になりうるという導入例を手がかりに、PDFを“見た目で確認する”運用の落とし穴と、組織が取れる実務的な対策観点を整理する。
PortSwigger Researchで公開された「Listen to the whispers: web timing attacks that actually work」は、Webサイトに潜む“タイミングの差”を手がかりに秘密情報を引き出すという発想を前面に出し、サーバ側の秘匿を暴くための新しい攻撃コンセプトを提示すると述べる。公開記事と関連する講演情報を手掛かりに、タイミング攻撃の要点、成立条件、防御の考え方を整理する。
Webサービスがメールアドレスを解析してドメインを取り出し、所属組織の推定や登録可否の判定に使う設計はよくあります。しかし、同じ入力でも実装(パーサー)ごとに解釈がズレると、許可されていないドメインを“許可されたもの”として扱わせる余地が生まれます。PortSwigger Researchの「Splitting the email atom」は、この“メールアドレス・パーサー不一致”がアクセス制御を破る現実的な攻撃面になる点を整理し、検証教材やツール側の対応ともつながる問題として提示します。
PortSwigger Researchの「Gotta cache 'em all」は、Webキャッシュ攻撃の定石がCDN普及によってどう変化し、どのような“解釈のズレ”が機密情報の奪取や悪性コンテンツの保存につながり得るかを整理した研究です。本記事は元論文と関連研究・講演資料を手がかりに、背景と要点を日本語で概説します。
PortSwigger Researchが公開した「URL validation bypass cheat sheet」は、URLの解釈のあいまいさがSSRF・CORS誤設定・オープンリダイレクトなどの脆弱性に直結する点を整理し、回避パターンと防御の考え方をまとめた資料です。本記事では、URLバリデーションがなぜ破られやすいのか、実装側が押さえるべき原則と検証観点を解説します。
Johan Carlssonが見つけた「URLの資格情報(credentials)部分にペイロードを埋め込み、見た目のURLからは気づきにくくする」アイデアを手がかりに、なぜ“見えない”ことが面白く、同時に危ういのかを整理する。
PortSwigger Researchは、SSRFなどで問題になりやすい「URL検証(バリデーション)の回避手法」をまとめたURL Validation Bypass Cheat Sheetの更新を紹介した。コミュニティからの貢献を強みに、今回はIPアドレス関連の手法が“新しく、改善された形”で追加されることが示唆されている。
HTTP Cookieは認証や機能制御など重要な役割を担う一方、歴史的経緯の長さゆえに実装ごとの解釈差(パーサ差分)が起きやすく、WAFとバックエンドの見方が食い違うと防御を迂回されうる。本記事はPortSwigger Researchの解説を基に、$Versionという“見えにくい”要素を足がかりにしたWAF回避の考え方と、設計・運用面での現実的な備えを整理する。
PortSwigger Researchが、毎年恒例の「Top 10 Web Hacking Techniques」2024年版に向けたノミネーション(推薦)の受付開始を告知した。ブログ記事、発表資料、PoCなどを通じて共有された新しい攻撃・解析手法をコミュニティで持ち寄り、年次の“注目すべき10選”として整理する取り組みだ。
PortSwigger Researchが公開した「cookie sandwich」技法は、通常はJavaScriptから読めないHttpOnly Cookieについて、サーバ側の実装条件によってはフラグの意図を迂回し得る、という観点を提示する研究です。本稿では元記事の位置づけと、関連するPortSwiggerの周辺研究(XSS、CSP、ペイロード隠蔽など)とのつながりを整理します。
PortSwigger Researchが解説する「Unicode codepoint truncation(Unicodeオーバーフロー攻撃)」は、サーバがUnicode文字を1バイトに収めようとして切り捨て(丸め)を起こすことで、想定していた文字制限やブロックリストがすり抜けられる問題です。入力の検証と保存・比較の表現がズレたときに何が起きるのか、どこが危険なのかを要点整理します。
PortSwigger Researchが公開した「Top 10 Web Hacking Techniques of 2024」(年次企画第18回)を基に、コミュニティ投票で選ばれる“読むべきWebセキュリティ研究”という位置づけと、学びどころを日本語で整理する。
PortSwiggerが公開した「Shadow Repeater」は、Burp Repeaterでの手動検証にAI支援を重ね、判断ミスや一手の選択違いで取り逃しがちな脆弱性の発見・深掘りを助ける取り組みです。本記事では、公式情報と関連ドキュメント/拡張ページ/デモ動画をもとに、狙いと使いどころを日本語で整理します。
PortSwigger Researchの「SAML roulette: the hacker always wins」は、SAML実装で用いられるruby-samlライブラリを突き、ラウンドトリップ攻撃と名前空間(namespace)の混乱を連鎖させることで、GitLab Enterpriseに対して未認証のまま管理者権限へ到達し得ることを“手順として”示す内容だ。あわせて同研究群が扱うSAMLパーサ差異(属性汚染、名前空間混乱、Void Canonicalization等)という論点から、なぜこの種の問題が「設定や運用のミス」ではなく「パーサ/正規化レベルの不整合」になり得るのかを読み解く。
PortSwigger Researchの記事を元に、Burp SuiteのAI拡張「Document My Pentest」が狙う“ペンテストの記録と報告の自動化”を整理する。Burp AIの関連機能や、AI拡張・カスタムアクション開発の公式ドキュメントの位置づけもあわせて概観する。
PortSwigger Researchの記事「Drag and Pwnd」は、本来コード実行とは無縁に設計されたASCII制御文字(SOH、STX、EOT、ETXなど)が、現代のターミナルエミュレータ等の挙動次第で“意図せず動作を引き起こし得る”点に焦点を当て、VS Codeのような開発環境を攻撃の起点にし得ることを論じます。
PortSwigger Research が公開した「Repeater Strike: manual testing, amplified」を基に、Burp Suite の手動テストを繰り返し作業から解放し、IDOR などの脆弱性探索を支援するという Repeater Strike の狙いと位置づけを整理する。
PortSwigger Researchの「HTTP/1.1 must die: the desync endgame」を元に、HTTP/1.1に内在する“デシンク(HTTP request smuggling)”の構造的リスクと、緩和策が効きにくい理由、組織が取るべき現実的な移行・運用判断を整理する。
HTTPリクエストスマグリングを見つけたと思ったら、実はHTTPのkeep-aliveやパイプライニング由来の挙動だった——という「偽陽性」は珍しくありません。本記事は、PortSwigger Researchの解説を元に、両者を混同しやすい理由と、報告・検証時にどこを見れば切り分けられるのかを整理します。
PortSwigger Researchが公開した「Inline Style Exfiltration」は、セレクタや外部スタイルシートの読み込みに頼らず、style属性へのCSS注入(CSS injection)から属性データを盗み出し得る可能性を示した研究である。従来の“CSSによる情報抽出”の前提を揺さぶり、インラインスタイル経由の攻撃面を再評価する必要性を提起している。
PortSwigger Researchの「Cookie Chaos」を元に、__Host-/__Secure- といったCookieプレフィックスが意図する防御と、ブラウザとサーバー側の解釈差(パーサや実装差)によって防御が崩れ得るという論点を整理する。あわせて、プレフィックス依存にしない実務的な対策観点(サーバー側の検証、重複Cookieの扱い、属性の強制、観測とテスト)をまとめる。
WebSocketへアップグレードした途端にテストが浅くなる“盲点”に対し、Burp Suite拡張「WebSocket Turbo Intruder」がWebSocketメッセージのファジングやHTTP経由の介入を手がかりに、アクセス制御不備やレースコンディション等の発見可能性を広げるという問題提起と実務的な方向性を整理する。
PortSwigger Research が公開した「Introducing HTTP Anomaly Rank」は、Burp Intruder / Turbo Intruder で発生しがちな“何千ものHTTPレスポンスを長さ順などで延々と並べ替えて目視する儀式”を出発点に、解析の効率を上げるためのHTTPレスポンス向けランキング手法(HTTP Anomaly Rank)を紹介する内容です。
PortSwigger Researchの「The Fragile Lock」は、RubyおよびPHPのSAMLエコシステムにおいて、XMLパーサ/実装間の不整合(例:属性汚染や名前空間の混乱など)を突くことで、最終的に認証の完全バイパスに至りうることを示した研究である。周辺の反応(Reddit、LinkedIn、Facebook)からは、SAMLが複雑で実装差が生まれやすいという問題意識と、ライブラリの保守性・対策の継続性への懸念が読み取れる。
PortSwigger Researchが、コミュニティの研究発信を振り返る企画「Top 10 Web Hacking Techniques of 2025」について候補募集(ノミネーション)を案内し、その後ノミネーションが締め切られ投票が開始された。公式ページや投票ページを手がかりに、企画の狙い、参加方法、読み解き方を整理する。
PortSwigger Researchが公開した「Top 10 web hacking techniques of 2025」(年次・第19回)を元に、企画の位置づけ(コミュニティ主導の投票・ノミネーション)と、読む前に押さえておきたいポイントを整理する。
Hermes Agentは、CLIから始めてチャット連携やタスク自動化へ段階的に広げられる、Python製のオープンソースAIエージェント基盤です。プロファイル(作業ごとの人格・設定)やスキル(拡張機能)を軸に、個人の作業効率化からチーム運用まで用途に合わせて育てていけます。
DeepTutorは、学習者の目的や理解度に合わせて「会話・解説・追加質問・要約・調査・解法支援」などを段階的に組み合わせ、学習を前に進めるための“エージェント(自律的に手順を組み立てるAI)”基盤を提供するOSSです。チャットでの質問対応だけでなく、教材の取り込み(Markdown/PDFなど)や知識ベース管理、学習支援用の複数モードを統合し、学びの流れをアプリとして実装しやすい形にまとまっています。
Google AI Edge Gallery は、オープンソースのLLM(大規模言語モデル)などをモバイル端末上で動かし、チャット・画像質問・音声文字起こし・プロンプト実験・ツール連携(Agent Skills)といった体験をまとめて試せるデモ兼サンドボックスアプリです。モデル管理やベンチマークも備えており、「端末で動く生成AI」を触って比較して学びたい人に向いています。