报告 #3328343 - Bykea租赁行程中customer_bid字段缺失最低值出价轮盘验证
报告ID: #3328343 (复制报告ID)
摘要 (Bykea提供)
在创建租赁行程时,customer_bid 字段缺少验证,允许乘客提交任意出价金额,包括极低的费用。虽然司机不会接受这种过低报价,但系统在没有验证的情况下展示了这些被篡改价格的行程。目前已添加适当的验证以防止不切实际的值。
时间线
- 2025年9月5日,下午12:54 (UTC)
- ID已验证的安全研究员
sameer_ali向 Bykea 提交了一份报告。
- ID已验证的安全研究员
- 2025年9月5日,下午1:34 (UTC)
- Bykea 员工
pingsudo关闭了报告并将状态改为 Informative。
- Bykea 员工
- 2025年9月5日,下午2:04 (UTC)
sameer_ali发表了一条评论。
- 2025年9月6日,上午6:41 (UTC)
- Bykea 员工
pingsudo重新开启了此报告。 pingsudo将状态改为 Triaged。pingsudo将严重性从 中等 (5.3) 更新为 低。- Bykea 向
sameer_ali发放了漏洞赏金。
- Bykea 员工
- 2025年9月6日,上午6:43 (UTC)
sameer_ali发表了一条评论。
- 2025年9月6日,上午6:44 (UTC)
- Bykea 员工
pingsudo更改了报告标题。
- Bykea 员工
- 2025年11月5日,上午10:44 (UTC)
- Bykea 员工
pingsudo关闭了报告并将状态改为 Resolved。
- Bykea 员工
- 2025年11月5日,上午10:54 (UTC)
sameer_ali请求公开此报告。
- 7天前
- Bykea 员工
pingsudo同意公开此报告。 - 此报告已被公开。
- Bykea 员工
报告详情
- 报告日期: 2025年9月5日,下午12:53 UTC
- 报告人: sameer_ali
- 报告对象: Bykea
- 报告ID: #3328343
- 状态: 已解决
- 严重性: 低 (0.1 ~ 3.9)
- 公开日期: 2025年11月20日,上午5:46 UTC
- 漏洞类型: 业务逻辑错误
- CVE ID: 无
- 赏金: 隐藏
- 账户详情: 无
看起来您的 JavaScript 被禁用了。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。 biOK/hzhVF2yKaGc5mK8ofWU54x+5CPhFAFI2w3Wf7rz0in2bK4auKyCZWPbkU2g
