WebSocket响应中暴露trip_no导致信息过度泄露漏洞分析

本文详细分析了Bykea平台WebSocket实现中的安全漏洞,攻击者可在司机接受报价前获取trip_no标识符,进而访问客户跟踪URL导致敏感信息泄露。漏洞通过屏蔽敏感标识符和引入URL哈希化得到修复。

Bykea | 报告 #2209750 - WebSocket响应中暴露trip_no导致信息过度泄露

漏洞概要

@mrrhacker发现Bykea的WebSocket实现中存在安全漏洞:在司机接受报价前,系统会将trip_no标识符暴露给司机。该标识符可被未授权司机用于访问客户跟踪URL,从而导致客户过多信息泄露。

解决方案

通过以下措施解决了该问题:

  • 在WebSocket响应中屏蔽敏感标识符
  • 在跟踪URL中引入哈希化机制以防止未授权访问

时间线

  • 2023年10月15日 12:44 UTC - mrrhacker向Bykea提交报告
  • 2023年10月15日 13:22 UTC - Bykea工作人员将状态改为"需要更多信息"
  • 2023年10月16日 08:22 UTC - 严重等级从高危(7.5)调整为中危(6.5)
  • 2023年10月16日 08:26 UTC - Bykea向mrrhacker发放赏金
  • 2023年10月27日 06:35 UTC - 报告关闭,状态改为"已解决"
  • 2025年6月26日 10:13 UTC - 报告公开披露

漏洞详情

报告ID: #2209750
状态: 已解决
严重等级: 中危(6.5)
弱点类型: 不当的访问控制 - 通用类
CVE ID: 无
赏金: 隐藏

技术影响

该漏洞允许未授权司机在接受订单前获取行程标识符,进而可能访问包含客户敏感信息的跟踪URL,违反了最小权限原则和数据保护要求。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次