漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-096787
漏洞标题:UBER打车软件设计不当可无限刷现金卷
相关厂商:UBER
漏洞作者: 快到碗裏來
提交时间:2015-02-11 14:32
修复时间:2015-03-28 14:34
公开时间:2015-03-28 14:34
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-28: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
UBER在搞的一个市场活动,可以使用该漏洞无限刷现金卷,然后淘宝抛售.
详细说明:
一进朋友圈,发现朋友都在分享了这个东西,好奇心驱使下点了进去试试。
你TM在逗我.....居然歧视我的手机...
还好微信可以复制URL地址,那就复制出来试试去电脑开...
随便找个订阅号,然后把连接黏贴进去,再到电脑里输入。
居然可以打开,试下可否玩..
点击start后居然可以玩....
不是我渣,肯定是他代码有问题,所以分数才这样...
好吧,帮你看看代码是不是有问题...(注意红色框框)
查看(红色框框里的JS)后发现了提交参数和地址...
试下自己构造参数提交吧....
这里是顺眼看到了,明显封顶15元现金卷....
JSON我不熟悉,那就去console那直接让他帮我转换出来。
得到:
然后神器postman出场。
提交地址:
设置Header:
*这里一定要这样设置,它后台对header进行了判断,如果不是application/json则抛出异常
然后内容:
点提交,现金卷出来了...
phone不能提交过,但是对提交的内容没有进行验证(可以随便填写)
source和level不能太高或太低(封顶也就15元,太高也没意思)
Uber一个帐号只能用一次,
但是如果我刷几千张,然后淘宝大量抛售,不知道能赚多少?
漏洞证明:
一进朋友圈,发现朋友都在分享了这个东西,好奇心驱使下点了进去试试。
你TM在逗我.....居然歧视我的手机...
还好微信可以复制URL地址,那就复制出来试试去电脑开...
随便找个订阅号,然后把连接黏贴进去,再到电脑里输入。
居然可以打开,试下可否玩..
点击start后居然可以玩....
不是我渣,肯定是他代码有问题,所以分数才这样...
好吧,帮你看看代码是不是有问题...(注意红色框框)
查看(红色框框里的JS)后发现了提交参数和地址...
试下自己构造参数提交吧....
这里是顺眼看到了,明显封顶15元现金卷....
JSON我不熟悉,那就去console那直接让他帮我转换出来。
得到:
然后神器postman出场。
提交地址:
设置Header:
*这里一定要这样设置,它后台对header进行了判断,如果不是application/json则抛出异常
然后内容:
点提交,现金卷出来了...
phone不能提交过,但是对提交的内容没有进行验证(可以随便填写)
source和level不能太高或太低(封顶也就15元,太高也没意思)
Uber一个帐号只能用一次,
但是如果我刷几千张,然后淘宝大量抛售,不知道能赚多少?
修复方案:
别歧视iphone4,如果当时我能玩的话就不会这样了.........
版权声明:转载请注明来源 快到碗裏來@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝