Bykea | 报告 #3328343 - 租车行程中客户竞价字段缺少最低值验证

报告 ID: #3328343 报告者: sameer_ali 报告对象: Bykea 状态: 已解决 严重性: 低 (0.1 ~ 3.9) 弱点类型: 业务逻辑错误 CVE ID: 无 披露日期: 2025年11月20日 05:46 UTC

摘要

在创建租车行程时，customer_bid（客户竞价）字段缺少验证，允许乘客提交任意的竞价金额，包括极低的费用。虽然司机不会接受这种过低的报价，但系统会在没有验证的情况下显示这些被操纵的行程报价。现已添加适当的验证以防止不切实际的值。

时间线

• 2025年9月5日 12:54 UTC - ID已验证的安全研究员 sameer_ali 向 Bykea 提交报告。
• 2025年9月5日 13:34 UTC - Bykea 员工 pingsudo 关闭报告，状态改为“仅供参考”。
• 2025年9月5日 14:04 UTC - sameer_ali 发表评论。
• 2025年9月6日 06:41 UTC - pingsudo 重新开启此报告。
• 2025年9月6日 06:41 UTC - pingsudo 将状态改为“已分类”。
• 2025年9月6日 06:41 UTC - pingsudo 将严重性从中等（5.3）更新为低。
• 2025年9月6日 06:41 UTC - Bykea 向 sameer_ali 发放漏洞赏金。
• 2025年9月6日 06:43 UTC - sameer_ali 发表评论。
• 2025年9月6日 06:44 UTC - pingsudo 更改报告标题。
• 2025年9月6日 10:44 UTC - pingsudo 关闭报告并将状态改为“已解决”。
• 2025年11月5日 10:54 UTC - sameer_ali 请求公开此报告。
• 2025年11月20日 05:46 UTC - pingsudo 同意公开此报告。此报告已被公开。

技术说明

此漏洞属于业务逻辑错误。问题根源在于服务端对用户输入的竞价金额 customer_bid 缺少最低值的强制验证。攻击者可以通过修改客户端请求或直接调用API的方式，提交一个远低于正常市场价格的数值（例如0或负数）。尽管此异常报价在实际业务场景中不太可能被司机接受，但其成功提交并能在系统中展示，证明了输入验证机制存在缺陷，可能影响平台计费逻辑的完整性与可信度。修复措施是在服务端添加了强制的下限值检查。