我在漏洞赏金计划中获得的最轻松的2500美元
大家好,今天我将谈论我发现的第一个漏洞。当时,我对信息安全知之甚少,所以没有进行扫描之类的操作,我只是像普通用户一样使用应用程序,但好奇心促使我发现了这个漏洞。
我是如何发现这个漏洞的?
有一天,我的朋友来找我为他朋友预约行程,当司机到达时,我想把司机号码给我的朋友,让他转交给他的朋友以便与司机联系。当时我知道Uber会保护司机和客户的号码,但我是一个好奇的人,所以我到处点击,直到发现了一个新功能——它允许你向司机发送短信。
当我点击它时,令人惊讶的事情发生了,司机的真实号码显示在我面前。我把号码给了我的朋友,让他转发给他的朋友。然后我思考了发生的事情,觉得这是不寻常的行为,认为这是一个漏洞!
阅读更多关于号码匿名化功能的内容...
如何复现这个漏洞?
首先,预约一个行程。之后,按下图中箭头指示的位置,以便与司机进行对话。
之后,点击上方的电话图标,会出现两个选项:第一个是与司机通话(如果点击它,会跳转到Uber的通用号码,你不会知道司机的真实号码)。
第二个选项是向司机发送短信,当你点击它时,司机的真实号码就会显示出来。
我是如何报告这个漏洞的?
我在HackerOne上搜索了Uber,发现他们有一个漏洞赏金计划。我尝试发送报告,但因为我的账户是新的,没有任何信誉积分,所以无法发送。我联系了HackerOne的支持,但也没有结果。
我在Facebook上搜索,找到了一个名叫Khaled Hassan的人,他是一位资深安全研究员。我决定把漏洞发给他,让他代我提交(当时我根本不认识他,但现在他是我最好的朋友之一)。
漏洞在发送报告一个月后得到修复,我获得了我的第一笔赏金。
经验教训
当我发现这个漏洞时,我在信息安全领域没有任何经验,但我有好奇心,促使我到处点击直到发现这个漏洞。所以,使用应用程序或网站,仔细浏览并理解它的工作原理,然后开始你的黑客之旅,这会给你带来好的结果,你会发现很多漏洞。
注意逻辑漏洞。
当你怀疑自己发现了漏洞但不确定时,咨询你的亲密朋友,不要失去希望。
感谢阅读,希望我的故事对你有用。
时间线
[2020年1月29日] - 漏洞报告 [2020年1月31日] - 分类处理 [2020年3月4日] - 漏洞修复 [2020年3月6日] - 获得2500美元奖励
