Skip to content

Instantly share code, notes, and snippets.

@mala
mala / 0_medium_vuln_en.md
Last active August 24, 2023 14:04
Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature

Author: mala

Introduction

  • This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium.
  • This is done as my personal activity and is not related to my organization.
  • I'm not a zero-day guy and this is simply the result of a failure of coordinated disclosure.
@mala
mala / note_vuln.md
Last active August 14, 2023 17:52
noteの独自ドメインセッションの脆弱性について報告した件

noteの独自ドメインセッションの脆弱性について報告した件

文責: mala

前置き

  • note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する
  • 個人の活動として行っており所属組織とは関係がない
  • 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。
  • 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません)
@mala
mala / meety_vuln.md
Last active December 18, 2023 05:36
Meety脆弱性 2022-11

Meety脆弱性 2022-11

文責 mala

経緯:

  • Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。

免責:

  • 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。
  • 好ましくないが仕様だろうというものは書いていません。
@mala
mala / aini_graphql_vuln.md
Last active July 9, 2022 03:08
GraphQL採用サービスに追加で脆弱性を報告した話

GraphQL採用サービスに追加で脆弱性を報告した話

前置き

  • 個人の活動であり文責は全てmalaにあります。
  • 網羅的に調べているわけではないので、自分が利用していたり、調査したサービスに他の脆弱性が無いことを保証するものではないです。

概要

  • ainiというサービス https://helloaini.com/ のGraphQLでの情報露出の脆弱性に関する記事を見て、追加で調べたところ、Webサイトやアプリ上から参照できない他のユーザーのフォロー/フォロワー関係をGraphQL経由で取得することが出来ることを発見した。
@mala
mala / cocoa-5815.md
Last active April 7, 2022 11:02
接触確認アプリCOCOAについて通知と記録を混同した説明を行っているのではないかと問い合わせた記録
  • この後、回答はなかった。
  • 2021年8月31日時点でも「本アプリを端末(Android、iOS)に設定した人どうしの接触(1m以内、15分以上)を記録します。」という説明が行われている。

他国の事例

Date: 2020年8月15日(土) 15:49
@mala
mala / 2021_browser_mitm_vuln.md
Last active February 15, 2021 00:58
LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021)

LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021)

前置き

  • この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。
  • 執筆時点で未修正の不具合や、過去に修正済みで運営元が開示していない脆弱性情報なども含みますが、公益を意図しています。

概要

2020年の年末に、スマホ向けのLunascapeとSleipnirに対して、以下の問題を脆弱性として報告した。

@mala
mala / 202012_smooz.md
Last active October 6, 2022 14:28
Smoozサービス終了に寄せて

Smoozサービス終了に寄せて

前置き

  • この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。
  • 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。
  • 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。

Smoozに報告した脆弱性2件

@mala
mala / note_vuln.md
Last active August 12, 2021 08:15
noteとインシデントハンドリングと広報の仕事

noteとインシデントハンドリングと広報の仕事

前提

  • この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。
  • noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、(10月2日時点で)正規の仕事としては請け負っていない。

10月2日追記

  • 正規の仕事として請け負う可能性もありますが、自身の主張や脆弱性情報の公開に制限が掛かるのであれば引き受けないつもりです。
@mala
mala / social-distance-internet-meme-research.md
Created May 14, 2020 06:46
アカウント名にスペース入れてソーシャルディスタンス、って謎の風習、最初はどこから始まったの?

アカウント名にスペース入れてソーシャルディスタンス、って謎の風習、最初はどこから始まったの?

5/10 に書いたこれ https://gist.github.com/mala/08fdbc680d84bb1b2305688282f26cea に関連して

というTweetがあり、自分もインターネットミームとしての側面については気になっていたため調べていた。(事前に把握していたものも含む)

普段からTwitterをクロールしていたわけではなく、大規模なデータを持っていないので、実際にどこが発端になって、どういう流れで広まっていったのか正確なところは良く分からない。経緯を把握しているものだとシャープを参考にした(シャープはアカウント名部分ではないけど)というものがあるのは知っている。フォロワー数も非常に多く、企業SNS運用担当者の中では圧倒的な影響がある。

@mala
mala / twitter_crawl.pl
Created May 10, 2020 14:21
一個前の記事用に書いた Twitter Profile 収集するやつ
use strict;
use Net::Twitter;
use MongoDB;
my $nt = Net::Twitter->new(
traits => [qw/API::RESTv1_1/],
consumer_key => "xxx",
consumer_secret => "xxx",
access_token => "xxx",
access_token_secret => "xxx",