报告 #3328343 - Bykea租车行程中 customer_bid 字段缺少最低出价轮盘验证

摘要 在创建租车行程时，对 customer_bid 字段缺失验证，使得乘客能够提交任意出价金额，包括极低的票价。虽然司机不会接受如此低的出价，但系统在没有验证的情况下展示了这些被操纵的行程票价。目前已添加了适当的验证以防止不切实际的值。

时间线

• ID认证黑客 sameer_ali 向 Bykea 提交了一份报告。
  • 2025年9月5日，下午12:54 (UTC)
• Bykea 员工 pingsudo 关闭了报告并将状态更改为 Informative。
  • 更新于 2025年9月5日，下午1:34 (UTC)
• sameer_ali 发表了一条评论。
  • 2025年9月5日，下午2:04 (UTC)
• Bykea 员工 pingsudo 重新打开了此报告。
  • 2025年9月6日，上午6:41 (UTC)
• Bykea 员工 pingsudo 将状态更改为 Triaged。
  • 2025年9月6日，上午6:41 (UTC)
• Bykea 员工 pingsudo 将严重性从中等 (5.3) 更新为低。
  • 2025年9月6日，上午6:41 (UTC)
• Bykea 向 sameer_ali 发放了赏金。
  • 2025年9月6日，上午6:41 (UTC)
• sameer_ali 发表了一条评论。
  • 2025年9月6日，上午6:43 (UTC)
• Bykea 员工 pingsudo 更改了报告标题。
  • 2025年9月6日，上午6:44 (UTC)
• Bykea 员工 pingsudo 关闭了报告并将状态更改为 Resolved。
  • 2025年11月5日，上午10:44 (UTC)
• sameer_ali 请求披露此报告。
  • 2025年11月5日，上午10:54 (UTC)
• Bykea 员工 pingsudo 同意披露此报告。
  • 13天前
• 此报告已被披露。
  • 13天前

报告详情

• 报告日期：2025年9月5日，下午12:53 (UTC)
• 报告人：sameer_ali
• 报告对象：Bykea
• 参与者：
• 报告 ID：#3328343
• 状态：Resolved
• 严重性：低 (0.1 ~ 3.9)
• 披露日期：2025年11月20日，上午5:46 (UTC)
• 弱点：业务逻辑错误
• CVE ID：无
• 赏金：隐藏
• 账户详情：无

看起来您的 JavaScript 被禁用了。要使用 HackerOne，请在浏览器中启用 JavaScript 并刷新此页面。