报告 #3328343 - 租车行程中 customer_bid 字段缺乏最低出价轮盘验证 | HackerOne
跳过至主要内容 > Hacktivity 机会 目录 排行榜 了解更多关于 HackerOne 登录 39 #3328343 复制报告ID 复制报告ID 租车行程中 customer_bid 字段缺乏最低出价轮盘验证 分享:
Bykea 摘要 菜单 菜单
在创建租车行程时,customer_bid 字段缺少验证,允许乘客提交任意的出价金额,包括非常低的费用。虽然司机不会接受这种过低的报价,但系统在没有验证的情况下显示了这些被操纵的行程。现已添加适当的验证以防止不切实际的值。
时间线 ID已验证 已成功完成身份验证检查的黑客。
- sameer_ali 向 Bykea 提交了一份报告。
- 2025年9月5日,世界标准时间下午12:54
- pingsudo (Bykea 员工) 关闭了报告并将状态更改为 Informative。
- 更新于 2025年9月5日,世界标准时间下午1:34
- sameer_ali 发表了一条评论。
- 2025年9月5日,世界标准时间下午2:04
- pingsudo (Bykea 员工) 重新打开了此报告。
- 2025年9月6日,世界标准时间上午6:41
- pingsudo (Bykea 员工) 将状态更改为 Triaged。
- 2025年9月6日,世界标准时间上午6:41
- pingsudo (Bykea 员工) 将严重性从 中等 (5.3) 更新为 低。
- 2025年9月6日,世界标准时间上午6:41
- Bykea 向 sameer_ali 发放了赏金。
- 2025年9月6日,世界标准时间上午6:41
- sameer_ali 发表了一条评论。
- 2025年9月6日,世界标准时间上午6:43
- pingsudo (Bykea 员工) 更改了报告标题。
- 2025年9月6日,世界标准时间上午6:44
- pingsudo (Bykea 员工) 关闭了报告并将状态更改为 Resolved。
- 2025年11月5日,世界标准时间上午10:44
- sameer_ali 请求公开此报告。
- 2025年11月5日,世界标准时间上午10:54
- pingsudo (Bykea 员工) 同意公开此报告。
- 11 天前
- 此报告已被公开。
- 11 天前
报告详情
| 项目 | 详情 |
|---|---|
| 报告于 | 2025年9月5日,世界标准时间下午12:53 |
| 报告者 | sameer_ali |
| 报告给 | Bykea |
| 参与者 | |
| 报告ID | #3328343 |
| 状态 | 已解决 |
| 严重性 | 低 (0.1 ~ 3.9) |
| 公开日期 | 2025年11月20日,世界标准时间上午5:46 |
| 弱点 | 业务逻辑错误 |
| CVE ID | 无 |
| 赏金 | 隐藏 |
| 账户详情 | 无 |
看起来您的 JavaScript 已被禁用。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。