Bykea平台业务逻辑漏洞:恶意用户可任意提升其他乘客车费

安全研究员grassye在Bykea平台发现一个严重的业务逻辑漏洞,攻击者可通过未认证的API端点组合操纵其他用户的乘车费用,暴露后端授权检查缺失问题。

报告 #2861888 - 可提升任意客户报价车费的能力 (BAC)

摘要

安全研究员@grassye发现一个业务逻辑缺陷,允许恶意乘客或司机(以乘客身份操作)在未获得其他用户参与的情况下,提高其乘车费用。通过串联两个未认证的端点:GET /v1/config?trip_id=XXX生成哈希值,以及PUT /v1/bidding提交伪造报价,攻击者可在司机屏幕上显示虚高的车费。

尽管受影响乘客仍可取消行程,但该行为会破坏信任、引发潜在冲突,并突显后端逻辑中缺乏授权检查的问题。

时间线

  • 2024年11月23日 6:31 UTC
    grassye(ID已验证)向Bykea提交报告

  • 2024年11月23日 6:48 UTC
    grassye发表评论

  • 2024年11月23日 6:57 UTC
    pingsudo(Bykea员工)将状态更改为“需要更多信息”

  • 2024年11月23日 7:19 UTC
    pingsudo将严重性从“高”调整为“中”,并将状态改为“已分类”

  • 2024年11月23日 7:20 UTC
    grassye发表评论

  • 2024年11月23日 7:22 UTC
    Bykea向grassye发放奖金

  • 2024年11月23日 7:24 UTC
    grassye发表评论

  • 2024年11月23日 7:29 UTC
    pingsudo发表评论

  • 2024年11月23日 7:31 UTC
    pingsudo更改报告标题

  • 2025年2月18日 12:10 UTC
    pingsudo关闭报告并将状态改为“已解决”

  • 2025年2月18日 12:55 UTC
    grassye发表评论

  • 2025年6月12日 15:03 UTC
    grassye请求公开此报告

  • 2025年6月13日 4:52 UTC
    pingsudo同意公开报告,报告被披露

报告详情

  • 报告时间:2024年11月23日 6:31 UTC
  • 报告者:grassye
  • 报告对象:Bykea
  • 报告ID:#2861888
  • 状态:已解决
  • 严重性:中(4 ~ 6.9)
  • 披露时间:2025年6月13日 4:52 UTC
  • 弱点类型:不安全的直接对象引用(IDOR)
  • CVE ID:无
  • 奖金:隐藏
  • 账户详情:无
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次