はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性の診断行為を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、Twitterが認知していない未修正の脆弱性を公開する事を意図したものではありません。 また、Twitter上で脆弱性を発見した場合はTwitterのBug Bountyプログラムより報告してください。 (This article is written in Japanese. If you’d like to read this article in English, please visit HackerOne report.) TL;DRTwitterが公開したフリート機能が使用しているAPIに脆弱性が存在し、READ権限しか持っていないサードパーティアプリケ
![Twitterのフリート機能に対する権限昇格](https://cdn-ak-scissors.b.st-hatena.com/image/square/f94e7c64ba011cc1f46ab9681157cdea92a82187/height=288;version=1;width=512/https%3A%2F%2Fblog.ryotak.net%2Fimg%2Fog.webp)