Bykea | 报告 #2861888 - 可提升任意客户报价的能力 (BAC)

漏洞摘要

安全研究人员@grassye发现一个业务逻辑缺陷，允许恶意乘客或司机（伪装成乘客）在未获得授权的情况下提高其他客户的乘车费用。通过串联两个未认证的端点：使用GET /v1/config?trip_id=XXX生成哈希值，然后通过PUT /v1/bidding提交伪造的报价，攻击者可以在司机端显示虚高的费用。

虽然受影响乘客仍可取消行程，但此行为会破坏平台信任度，可能引发冲突，并突显了后端逻辑中授权检查的缺失。

时间线

• grassye 向Bykea提交报告
  2024年11月23日 6:31 UTC

• grassye 发表评论
  2024年11月23日 6:48 UTC

• pingsudo (Bykea员工) 将状态改为"需要更多信息"
  更新于2024年11月23日 6:57 UTC

• pingsudo 将严重性从高调整为中
  2024年11月23日 7:19 UTC

• pingsudo 将状态改为"已分类"
  2024年11月23日 7:19 UTC

• grassye 发表评论
  2024年11月23日 7:20 UTC

• Bykea 向grassye发放赏金
  更新于2024年11月23日 7:22 UTC

• grassye 发表评论
  2024年11月23日 7:24 UTC

• pingsudo 发表评论
  2024年11月23日 7:29 UTC

• pingsudo 修改报告标题
  2024年11月23日 7:31 UTC

• pingsudo 关闭报告并将状态改为"已解决"
  2025年2月18日 12:10 UTC

• grassye 发表评论
  2025年2月18日 12:55 UTC

• grassye 请求公开此报告
  2025年6月12日 15:03 UTC

• pingsudo 同意公开此报告
  2025年6月13日 4:52 UTC

• 报告已公开
  2025年6月13日 4:52 UTC

报告详情

报告时间: 2024年11月23日 6:31 UTC
报告人: grassye
报告对象: Bykea
报告ID: #2861888
状态: 已解决
严重性: 中 (4 ~ 6.9)
公开时间: 2025年6月13日 4:52 UTC
漏洞类型: 不安全的直接对象引用 (IDOR)
CVE ID: 无
赏金: 隐藏
账户详情: 无

注意：您的JavaScript似乎已禁用。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。