出行租赁服务中客户出价字段缺失最低验证的漏洞分析

报告 #3328343 - Bykea租赁行程中customer_bid字段缺失最低值出价轮盘验证

报告ID: #3328343 (复制报告ID)

摘要 (Bykea提供)

在创建租赁行程时，customer_bid 字段缺少验证，允许乘客提交任意出价金额，包括极低的费用。虽然司机不会接受这种过低报价，但系统在没有验证的情况下展示了这些被篡改价格的行程。目前已添加适当的验证以防止不切实际的值。

时间线

• 2025年9月5日，下午12:54 (UTC)
  • ID已验证的安全研究员 sameer_ali 向 Bykea 提交了一份报告。
• 2025年9月5日，下午1:34 (UTC)
  • Bykea 员工 pingsudo 关闭了报告并将状态改为 Informative。
• 2025年9月5日，下午2:04 (UTC)
  • sameer_ali 发表了一条评论。
• 2025年9月6日，上午6:41 (UTC)
  • Bykea 员工 pingsudo 重新开启了此报告。
  • pingsudo 将状态改为 Triaged。
  • pingsudo 将严重性从 中等 (5.3) 更新为 低。
  • Bykea 向 sameer_ali 发放了漏洞赏金。
• 2025年9月6日，上午6:43 (UTC)
  • sameer_ali 发表了一条评论。
• 2025年9月6日，上午6:44 (UTC)
  • Bykea 员工 pingsudo 更改了报告标题。
• 2025年11月5日，上午10:44 (UTC)
  • Bykea 员工 pingsudo 关闭了报告并将状态改为 Resolved。
• 2025年11月5日，上午10:54 (UTC)
  • sameer_ali 请求公开此报告。
• 7天前
  • Bykea 员工 pingsudo 同意公开此报告。
  • 此报告已被公开。

报告详情

• 报告日期: 2025年9月5日，下午12:53 UTC
• 报告人: sameer_ali
• 报告对象: Bykea
• 报告ID: #3328343
• 状态: 已解决
• 严重性: 低 (0.1 ~ 3.9)
• 公开日期: 2025年11月20日，上午5:46 UTC
• 漏洞类型: 业务逻辑错误
• CVE ID: 无
• 赏金: 隐藏
• 账户详情: 无

看起来您的 JavaScript 被禁用了。要使用 HackerOne，请在浏览器中启用 JavaScript 并刷新此页面。

biOK/hzhVF2yKaGc5mK8ofWU54x+5CPhFAFI2w3Wf7rz0in2bK4auKyCZWPbkU2g