Skip to content

Instantly share code, notes, and snippets.

@mala
mala / 202012_smooz.md
Last active Jun 4, 2021
Smoozサービス終了に寄せて
View 202012_smooz.md

Smoozサービス終了に寄せて

前置き

  • この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。
  • 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。
  • 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。

Smoozに報告した脆弱性2件

@mala
mala / 2021_browser_mitm_vuln.md
Last active Feb 15, 2021
LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021)
View 2021_browser_mitm_vuln.md

LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021)

前置き

  • この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。
  • 執筆時点で未修正の不具合や、過去に修正済みで運営元が開示していない脆弱性情報なども含みますが、公益を意図しています。

概要

2020年の年末に、スマホ向けのLunascapeとSleipnirに対して、以下の問題を脆弱性として報告した。

@mala
mala / CVE-2019-5418_is_RCE.md
Last active Feb 7, 2021
Rails の CVE-2019-5418 は RCE (Remote code execution) です
View CVE-2019-5418_is_RCE.md
@mala
mala / covid19-twitter-research_01.md
Last active Oct 20, 2020
生活と意見: ソーシャルディスタンスなどと称してユーザー名や文章にスペースを挟む行為についての苦情
View covid19-twitter-research_01.md

生活と意見: ソーシャルディスタンスなどと称してユーザー名や文章にスペースを挟む行為についての苦情

更新履歴

2020-05-13 追記

@mala
mala / note_vuln.md
Last active Oct 7, 2020
noteとインシデントハンドリングと広報の仕事
View note_vuln.md

noteとインシデントハンドリングと広報の仕事

前提

  • この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。
  • noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、(10月2日時点で)正規の仕事としては請け負っていない。

10月2日追記

  • 正規の仕事として請け負う可能性もありますが、自身の主張や脆弱性情報の公開に制限が掛かるのであれば引き受けないつもりです。
@mala
mala / social-distance-internet-meme-research.md
Created May 14, 2020
アカウント名にスペース入れてソーシャルディスタンス、って謎の風習、最初はどこから始まったの?
View social-distance-internet-meme-research.md

アカウント名にスペース入れてソーシャルディスタンス、って謎の風習、最初はどこから始まったの?

5/10 に書いたこれ https://gist.github.com/mala/08fdbc680d84bb1b2305688282f26cea に関連して

というTweetがあり、自分もインターネットミームとしての側面については気になっていたため調べていた。(事前に把握していたものも含む)

普段からTwitterをクロールしていたわけではなく、大規模なデータを持っていないので、実際にどこが発端になって、どういう流れで広まっていったのか正確なところは良く分からない。経緯を把握しているものだとシャープを参考にした(シャープはアカウント名部分ではないけど)というものがあるのは知っている。フォロワー数も非常に多く、企業SNS運用担当者の中では圧倒的な影響がある。

@mala
mala / a.md
Last active Jun 30, 2020
Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査)
View a.md

Chrome ExtensionのLive HTTP Headersを調査した。Firefox用のものではない。Firefox用のものではない。

11/7追記

English version: https://translate.google.com/translate?sl=ja&tl=en&js=y&prev=_t&hl=ja&ie=UTF-8&u=https%3A%2F%2Fgist.github.com%2Fmala%2Fe87973df5029d96c9269d9431fcef5cb&edit-text=&act=url

Summary in english.

@mala
mala / nwc.md
Created Jan 15, 2019
次世代Webカンファレンス 2019 振り返り
View nwc.md

次世代Webカンファレンス 2019 振り返り

  • この文章に関しても所属組織とは関係のない個人の見解です

所感など

  • 本当に全く打ち合わせをしていないので、話題が分散しがちだったかもしれない。
  • せっかくの所属組織とは無関係のレギュレーションなので、具体名を上げてガンガン治安の悪いことを言うつもりだったのだけど、直前に「具体的な企業名は避けましょう」と言われて若干遠慮した。
  • マズいことをガンガンしゃべる覚悟で来たので、防刃ベストを着ているが、特に出番は無かった。トイレにも行った。
  • 本当は話す予定だったトピックについて、いくつかは、別途private gistに書く。
View mxhr.js
/*
// mxhr.js
// BSD license
var mxhr = new MXHR;
mxhr.listen(mime, function(body){ process(body) });
mxhr.listen('complete', function(status_code){ ... }); // 2xx response
mxhr.listen('error', function(status_code){ ... }); // other case
mxhr.open("GET", url, true); // or mxhr.open("POST", url, true);
mxhr.send("");
@mala
mala / 0.md
Last active May 20, 2020
Vulnerabilities related to url parser, etc / shibuya.xss #8
View 0.md