漏洞概述
安全研究员@bugbountywithmarco发现Bykea平台存在业务逻辑缺陷,允许钱包余额为负的青铜级合作伙伴绕过平台限制接受行程订单。通过串联调用三个后端API端点,负余额司机可重置其可用状态并成功提交报价。
技术细节
攻击链涉及以下端点调用序列:
- 首先调用
GET /v2/:city_id/bookings获取行程列表 - 随后调用
PUT /api/v2/driver/update/location(携带任意trip_id参数) - 最后通过
POST /api/v2/offer/bid提交报价
这种调用方式会绕过平台对负余额账户的常规限制检查,使不符合条件的司机能够非法接受行程订单。
时间线
- 2024年11月27日:漏洞初次报告
- 2024年11月28日:漏洞被分类为中等风险(6.5分)
- 2025年3月27日:问题修复
- 2025年6月13日:漏洞报告公开披露
漏洞分类
- 弱点类型:业务逻辑错误(Business Logic Errors)
- CVE编号:无
- 风险等级:中等(6.5)