Bykea | 报告 #2209750 - WebSocket响应中暴露trip_no导致信息过度泄露

漏洞概述

安全研究人员@mrrhacker在Bykea的WebSocket实现中发现了一个安全漏洞。该漏洞允许司机在投标被接受之前就能获取到trip_no标识符。攻击者可以利用此标识符访问客户跟踪URL，从而向未授权司机泄露客户的过多信息。

时间线

• 2023年10月15日 12:44 UTC - mrrhacker向Bykea提交漏洞报告
• 2023年10月15日 13:22 UTC - Bykea工作人员将状态改为"需要更多信息"
• 2023年10月15日 13:49 UTC - 研究人员将状态改回"新建"
• 2023年10月16日 06:50 UTC - 再次要求更多信息
• 2023年10月16日 07:17 UTC - 状态再次改为"新建"
• 2023年10月16日 08:22 UTC - 严重等级从高危(7.5)调整为中危(6.5)
• 2023年10月16日 08:24 UTC - 状态改为"已分类"
• 2023年10月16日 08:26 UTC - Bykea向研究人员发放奖金
• 2023年10月27日 06:35 UTC - 报告关闭，状态改为"已解决"
• 2025年6月17日 07:50 UTC - 研究人员请求披露报告
• 2025年6月26日 10:11 UTC - Bykea工作人员修改报告标题
• 2025年6月26日 10:13 UTC - 同意披露报告

解决方案

该问题通过在WebSocket响应中掩码敏感标识符，并在跟踪URL中引入哈希化处理来防止未授权访问，从而得到有效解决。

漏洞详情

报告ID: #2209750
状态: 已解决
严重等级: 中危 (6.5)
披露时间: 2025年6月26日 10:13 UTC
弱点类型: 不当的访问控制 - 通用类
CVE ID: 无
奖金: 隐藏