はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性診断を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、インターネット上のサービスに無差別に攻撃する事を推奨するものではありません。 また、Twitter上で脆弱性を発見した場合は無闇に公開せず、TwitterのBug Bountyプログラムより報告してください。 要約不適切なアクセス制御とレートリミットの欠如、タイミング攻撃を組み合わせることによりTwitterの非公開リストの中身を閲覧できた。 不適切なアクセス制御TwitterのGraphQLエンドポイントに対して以下のようなリクエストを送信すると、リストが非公開であったとしてもリストのメンバーリストを取得することが出来た。 GET /graphql/iUmNRKLdkK
![Twitterの非公開リストが見れた話](https://cdn-ak-scissors.b.st-hatena.com/image/square/f94e7c64ba011cc1f46ab9681157cdea92a82187/height=288;version=1;width=512/https%3A%2F%2Fblog.ryotak.net%2Fimg%2Fog.webp)