Skip to content

Instantly share code, notes, and snippets.

View mala's full-sized avatar

mala mala

440 followers · 56 following
  • LINE
  • japan
View GitHub Profile
@mala
mala / 202012_smooz.md
Last active January 20, 2026 08:52
Smoozサービス終了に寄せて

Smoozサービス終了に寄せて

前置き

  • この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。
  • 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。
  • 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。

Smoozに報告した脆弱性2件

@mala
mala / aycabta.md
Last active December 30, 2025 05:02
aycabtaあるいは糸柳茶蔵のこと

aycabtaあるいは糸柳茶蔵のこと

文章: mala

  • 2025-01-20 初稿
  • 2025-01-23 いくつかの補足と自分の過去のprivateでの言及のおまけ
  • 気が向いたら、追記するかもしれない

1

@mala
mala / note_vuln.md
Last active December 18, 2025 06:41
noteの独自ドメインセッションの脆弱性について報告した件

noteの独自ドメインセッションの脆弱性について報告した件

文責: mala

前置き

  • note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する
  • 個人の活動として行っており所属組織とは関係がない
  • 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。
  • 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません)
@mala
mala / request_smuggling_2025.md
Created December 14, 2025 13:18
request smugglingについて2025年の出来事と考察

文責と分析: mala

前置き

  • 個人の見解であり所属組織とは関係ない
  • 業務時間中の調査内容も含むが、公開情報をベースとして書く
  • 注意喚起のために書いており、あとで更新される
  • request smuggling自体の解説はしない。(元々知ってる人向け)

概要

  • request smugglingは古くからある脆弱性だが、2025年になってBlackHatでrequest smugglingの発表がされたり、未だに新規性のある手法が見つかっていたりする
@mala
mala / note_vuln.md
Last active December 15, 2025 13:48
noteとインシデントハンドリングと広報の仕事

noteとインシデントハンドリングと広報の仕事

前提

  • この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。
  • noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、(10月2日時点で)正規の仕事としては請け負っていない。

10月2日追記

  • 正規の仕事として請け負う可能性もありますが、自身の主張や脆弱性情報の公開に制限が掛かるのであれば引き受けないつもりです。
@mala
mala / a.md
Last active December 15, 2025 09:48
Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査)

Chrome ExtensionのLive HTTP Headersを調査した。Firefox用のものではない。Firefox用のものではない。

11/7追記

English version: https://translate.google.com/translate?sl=ja&tl=en&js=y&prev=_t&hl=ja&ie=UTF-8&u=https%3A%2F%2Fgist.github.com%2Fmala%2Fe87973df5029d96c9269d9431fcef5cb&edit-text=&act=url

Summary in english.

@mala
mala / meety_vuln.md
Last active July 30, 2025 10:08
Meety脆弱性 2022-11

Meety脆弱性 2022-11

文責 mala

経緯:

  • Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。

免責:

  • 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。
  • 好ましくないが仕様だろうというものは書いていません。
@mala
mala / CVE-2019-5418_is_RCE.md
Last active June 26, 2025 03:41
Rails の CVE-2019-5418 は RCE (Remote code execution) です
@mala
mala / covid19-twitter-research_01.md
Last active October 17, 2024 06:34
生活と意見: ソーシャルディスタンスなどと称してユーザー名や文章にスペースを挟む行為についての苦情

生活と意見: ソーシャルディスタンスなどと称してユーザー名や文章にスペースを挟む行為についての苦情

更新履歴

2020-05-13 追記

@mala
mala / 0_medium_vuln_en.md
Last active August 24, 2023 14:04
Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature

Author: mala

Introduction

  • This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium.
  • This is done as my personal activity and is not related to my organization.
  • I'm not a zero-day guy and this is simply the result of a failure of coordinated disclosure.