初Zennです。 はじめてZennを使ってみました。いつもはTwitterにいるmipsparcです。鉄道と関連技術が好きで、本職ではPHPを書いています。別途ブログもあります https://mipsparc.wordpress.com/ 今年6月、TABICA(7/26に改称し、新名称「aini」、運営会社 株式会社ガイアックス)というイベント募集仲介サービスに、個人情報を自由に取得できる脆弱性を見つけて報告したところ、速やかに修正されて報奨金をいただいた話をします。 GraphQLは知ってますか? はじめに、GraphQLはご存知でしょうか。普通のHTTP API(RESTともいいますが)では、リクエストするエンドポイントが用途ごとに決まっているのが普通でしょう。たとえば /userdata にアクセスすると、JSONなどの形式でユーザーデータの決まった内容が帰ってくるものです。
![GraphQL採用サービスで任意カラムを取得できる脆弱性を見つけた話](https://cdn-ak-scissors.b.st-hatena.com/image/square/98ef68bfd6b89b2c8811a942b41b410b08b4d322/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--HpDrzPRG--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3AGraphQL%2525E6%25258E%2525A1%2525E7%252594%2525A8%2525E3%252582%2525B5%2525E3%252583%2525BC%2525E3%252583%252593%2525E3%252582%2525B9%2525E3%252581%2525A7%2525E4%2525BB%2525BB%2525E6%252584%25258F%2525E3%252582%2525AB%2525E3%252583%2525A9%2525E3%252583%2525A0%2525E3%252582%252592%2525E5%25258F%252596%2525E5%2525BE%252597%2525E3%252581%2525A7%2525E3%252581%25258D%2525E3%252582%25258B%2525E8%252584%252586%2525E5%2525BC%2525B1%2525E6%252580%2525A7%2525E3%252582%252592%2525E8%2525A6%25258B%2525E3%252581%2525A4%2525E3%252581%252591%2525E3%252581%25259F%2525E8%2525A9%2525B1%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Amipsparc%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2kwaHY2SlBxb2hBSHRGcW5SRW1uWF8wbHhUeFRNZjBMRl9FU2JLdGJBPXM5Ni1j%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)