2023年の「Top 10 Web Hacking Techniques」を読み解く：注目研究の見取り図

元ソース：PortSwigger Research「Top 10 web hacking techniques of 2023」（https://portswigger.net/research/top-10-web-hacking-techniques-of-2023）を基にまとめます。

概要

PortSwigger Researchの「Top 10 Web Hacking Techniques of 2023」は、1年間に公開されたWebセキュリティ研究のうち、革新的で“必読”とされる内容をコミュニティ主導で選び出して紹介する年次企画の第17回です。単なる脆弱性ニュースの寄せ集めではなく、「どんな着眼点が突破口になったのか」「現場で見落とされやすい前提や境界はどこか」といった“技術の学び”が残る研究に光を当てる、という位置づけで読めます。

同シリーズには2022年版（第16回）や2024年版（第18回）もあり、年ごとのトレンドを相対化しながら読むことで、攻撃・防御双方の発想の変化を追いやすくなります。さらに、投票ページは「この投票は終了した」と明記されており、候補提示→投票→結果公開という参加型の流れがあることも読み取れます。

詳細

この企画を理解するうえで重要なのは、「トップ10」という形式が“万能のランキング”を主張するものではなく、読者が追体験できる学びの濃い研究を拾い上げるための編集手法だという点です。2023年版は“過去1年の研究”から、革新性と重要性の両面で読む価値が高いものをコミュニティの力で選ぶ、と説明されています。つまり、最新の脆弱性だけでなく、検出・悪用・解析・緩和の手筋がアップデートされるような研究が対象になりやすい、と考えるのが自然です。

補足ソースとして、候補募集（nominations open）のページでは、具体例としてLDAPクエリの切り詰めとNULLバイト注入を組み合わせ、入力のサニタイズを回避してコマンド注入につなげた話や、ダブルクォートされたCookie値の解析の不一致を突く話などが示されています。これらは「同じデータでも“どの層がどう解釈するか”の差分」を狙う発想に通じ、実装側の“想定した安全対策”が別の解釈系で崩れる瞬間があることを示唆します。読む際は、どの境界（入力検証、パーサ、プロトコル、実行環境）で前提がズレたのかを図解しながら追うと、単発の事例として終わりにくくなります。

また、PDF版の要旨には「Blind CSS Exfiltration（未知のWebページをCSSで抜き取る）」「Server-side prototype pollution（DoSなしのブラックボックス検出）」「Chrome/Safariでの短時間DNSリバインディングを安定化する工夫」などのキーワードが並び、Webアプリの表層だけでなく、ブラウザ挙動や名前解決、サーバ側のオブジェクトモデルといった“周辺レイヤ”を横断して成立する攻撃研究が含まれることがうかがえます。ここからは、守る側もアプリコードだけを監査して安心するのではなく、依存関係・ミドルウェア・ブラウザ差分・ネットワーク境界を含めた設計で検討すべき、という読み筋が得られます。

最後に、投票ページが存在し、現在はクローズしている点は「読者が関心のある研究に投票し、その集合知が“読むべき10本”を形作る」仕組みを示します。したがって記事本体を読むときは、個々の研究の結論だけでなく、“なぜその研究が注目を集めたのか”という観点（再現性、汎用性、実装上の盲点、影響範囲）も意識すると、来年以降の動向や自組織の優先順位付けに接続しやすくなります。