- この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。
- 執筆時点で未修正の不具合や、過去に修正済みで運営元が開示していない脆弱性情報なども含みますが、公益を意図しています。
2020年の年末に、スマホ向けのLunascapeとSleipnirに対して、以下の問題を脆弱性として報告した。
mala mala
mala
/ 2021_browser_mitm_vuln.md
Last active
February 15, 2021 00:58
LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021)
mala
/ CVE-2019-5418_is_RCE.md
Last active
February 7, 2021 04:25
Rails の CVE-2019-5418 は RCE (Remote code execution) です
- Remote Code Executionとして、Advisoryが更新された。
- https://groups.google.com/d/msg/rubyonrails-security/zRNVOUhKHrg/GmmcVXcmAAAJ
- Thanks to @sorah @tenderlove
mala
/ social-distance-internet-meme-research.md
Created
May 14, 2020 06:46
アカウント名にスペース入れてソーシャルディスタンス、って謎の風習、最初はどこから始まったの?
Chrome ExtensionのLive HTTP Headersを調査した。Firefox用のものではない。Firefox用のものではない。
11/7追記
- 類似 or 同様の方法で難読化scriptを埋め込んでいる拡張機能が大量にあったため、Googleに報告済み。
- https://twitter.com/bulkneets/status/795260268221636608
Summary in english.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| /* | |
| // mxhr.js | |
| // BSD license | |
| var mxhr = new MXHR; | |
| mxhr.listen(mime, function(body){ process(body) }); | |
| mxhr.listen('complete', function(status_code){ ... }); // 2xx response | |
| mxhr.listen('error', function(status_code){ ... }); // other case | |
| mxhr.open("GET", url, true); // or mxhr.open("POST", url, true); | |
| mxhr.send(""); |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| use strict; | |
| use Net::Twitter; | |
| use MongoDB; | |
| my $nt = Net::Twitter->new( | |
| traits => [qw/API::RESTv1_1/], | |
| consumer_key => "xxx", | |
| consumer_secret => "xxx", | |
| access_token => "xxx", | |
| access_token_secret => "xxx", |
https://gist.github.com/mala/5062931
の続き。
Twitterの人に色々と問題点は伝えたんだけど、これからOAuthのサーバー書く人や、クライアント書く人が似たような問題を起こさないようにするために、どうすればいいのかについて簡単に書きます。既存の実装真似して作るとうっかりひどい目にあう。
自分は意図的に「Twitterの脆弱性」という表現を使わないように気を使っていて、それはクライアントアプリ側の責任もあるからなのだけれども、安全に実装するための方法がわかりにくかったり誤解を招きやすかったり、Twitterに買収されているTweetDeckにも問題があったりしたので、それはやっぱりTwitter側の責任の比重が大きいとは思う。とはいっても別に責任を追求したかったり◯◯はクソだといったことを言いたいわけではなく、誰が悪いとか言う以前に、複合的な要因によって問題が起きるときには原因を正しく理解する必要があると思う。
- サーバー側で秘密の鍵を持っている(それが無いとアクセストークンを取得できない or 使えない)
説明するのめんどい http://vividcode.hatenablog.com/entry/twitter-oauth-vulnerability
- 第一段階: locationヘッダでの自動リダイレクトからmetaタグでのリダイレクトに変更(X-Frame-Optionsが効くので、iframe総当り攻撃が困難に)
- 第二段階: https://dev.twitter.com/blog/changes-to-sign-in-with-twitter
とりあえず即座に攻撃できるような状態ではなくなっています。
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| ** アクセス解析の類を設置するサイト運営者の一般的な想定 | |
| http://www.ninja.co.jp/rule/analyze | |
| 図1 | |
| 訪問者 → 忍者ツールズ → 業務提携先 | |
| ↓ | |
| サイト運営者 | |
| この場合、業務提携先、業務委託先に「忍者ツールズが知っているデータ」の中で「忍者ツールズが第三者に提供しても大丈夫だと考えている情報」が共有されることになる。 | |
| それは利用規約とかプライバシーポリシーに、統計データのみとか、個人を特定できないようにするとか、必要な範囲でとか、守秘義務を結んだ上で、とか書かれるのが一般的。 |