Bykea应用硬编码僵尸端点IDOR漏洞分析

本文详细分析了Bykea应用中存在的硬编码僵尸端点IDOR漏洞,通过逆向工程发现未使用的端点泄露了其他用户行程中的司机敏感信息,涉及漏洞挖掘和API安全验证技术。

Bykea | 报告 #3085742 - 应用内硬编码僵尸端点的IDOR漏洞 | HackerOne

跳过主内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录101#3085742复制报告ID复制报告ID应用内硬编码僵尸端点的IDOR漏洞分享:Bykea摘要菜单菜单

@bugbountywithmarco 发现了一个不安全的直接对象引用(IDOR)漏洞,存在于一个硬编码的遗留(僵尸)端点中,该端点不再活跃使用但仍可访问。通过逆向工程Android应用并审查未使用端点的代码,研究人员识别出一个暴露的API,该API泄露了涉及其他用户行程的司机敏感详细信息,且未验证行程所有权。

时间线清除验证徽章已完成身份验证和背景调查的黑客。

  • bugbountywithmarco 向Bykea提交报告。2025年4月9日,下午1:07 UTC
  • pingsudo Bykea员工发表评论。2025年4月9日,下午1:30 UTC
  • pingsudo Bykea员工发表评论。2025年4月9日,下午1:41 UTC
  • bugbountywithmarco 发表评论。2025年4月9日,下午1:45 UTC
  • pingsudo Bykea员工将状态更改为已分类。2025年4月9日,下午1:45 UTC
  • bugbountywithmarco 发表评论。2025年4月9日,下午1:49 UTC
  • Bykea奖励bugbountywithmarco赏金。2025年4月9日,下午1:50 UTC
  • pingsudo Bykea员工发表评论。2025年4月9日,下午1:51 UTC
  • bykeatriage Bykea员工发表评论。2025年4月10日,上午6:30 UTC
  • bugbountywithmarco 发表评论。2025年4月10日,下午8:37 UTC
  • pingsudo Bykea员工关闭报告并将状态更改为已解决。2025年4月18日,上午11:18 UTC
  • bugbountywithmarco 请求披露此报告。2025年6月12日,下午1:34 UTC
  • pingsudo Bykea员工更改报告标题。2025年6月13日,上午5:27 UTC
  • pingsudo Bykea员工同意披露此报告。2025年6月13日,上午5:48 UTC
  • 此报告已披露。2025年6月13日,上午5:48 UTC

报告于 2025年4月9日,下午1:07 UTC
报告者 bugbountywithmarco
报告至 Bykea
参与者
报告ID #3085742
已解决
严重性 中等 (5.3)
披露于 2025年6月13日,上午5:48 UTC
弱点 不安全的直接对象引用 (IDOR)
CVE ID
赏金 隐藏
账户详情

看起来您的JavaScript被禁用了。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次