漏洞技术细节

安全研究员@bugbountywithmarco发现Bykea平台存在业务逻辑缺陷，允许钱包余额为负的青铜级合作伙伴绕过平台限制接受行程订单。通过串联调用三个后端API端点实现漏洞利用：

1. 初始请求
   GET /v2/:city_id/bookings 获取城市预订信息

2. 位置更新
   PUT /api/v2/driver/update/location 携带任意trip_id更新司机位置

3. 报价提交
   POST /api/v2/offer/bid 提交行程报价

通过这种调用链，负余额司机可重置其可用状态并成功提交报价，从而绕过钱包余额限制非法获取行程订单。

时间线摘要

• 2024-11-27 17:43 UTC 漏洞提交
• 2024-11-28 07:19 UTC 获得赏金
• 初始评级8.6（高危）后调整为6.5（中危）
• 2025-06-13 漏洞报告公开

技术影响

该漏洞属于业务逻辑错误类别，暴露了三个关键问题：

1. 端点权限校验不完善
2. 状态管理机制存在缺陷
3. 负余额检测逻辑可被绕过

平台最终通过增强钱包状态校验机制修复该漏洞。