当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-096787

漏洞标题:UBER打车软件设计不当可无限刷现金卷

相关厂商:UBER

漏洞作者: 快到碗裏來

提交时间:2015-02-11 14:32

修复时间:2015-03-28 14:34

公开时间:2015-03-28 14:34

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-03-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

UBER在搞的一个市场活动,可以使用该漏洞无限刷现金卷,然后淘宝抛售.

详细说明:

一进朋友圈,发现朋友都在分享了这个东西,好奇心驱使下点了进去试试。

IMG_2745.PNG


你TM在逗我.....居然歧视我的手机...

IMG_2746.PNG


还好微信可以复制URL地址,那就复制出来试试去电脑开...

IMG_2747.PNG


随便找个订阅号,然后把连接黏贴进去,再到电脑里输入。

IMG_2748.PNG


居然可以打开,试下可否玩..

1.jpg


点击start后居然可以玩....

2.jpg


不是我渣,肯定是他代码有问题,所以分数才这样...
好吧,帮你看看代码是不是有问题...(注意红色框框)

3.jpg


查看(红色框框里的JS)后发现了提交参数和地址...
试下自己构造参数提交吧....

4.jpg


这里是顺眼看到了,明显封顶15元现金卷....

5.jpg


JSON我不熟悉,那就去console那直接让他帮我转换出来。

console.log(JSON.stringify({
score : "9999999",
phone : "15989116612",
email : "138260370@qq.com",
level : "9999"
}));


得到:

{"score":"9999999","phone":"15989116612","email":"138260370@qq.com","level":"9999"}


6.jpg


然后神器postman出场。
提交地址:

http://m.muzhibuluo.com/biz/uber/submitRecord


设置Header:

Content-Type:application/json

*这里一定要这样设置,它后台对header进行了判断,如果不是application/json则抛出异常
然后内容:

raw,json
{"score":"9999999","phone":"15989116612","email":"138260370@qq.com","level":"9999"}


点提交,现金卷出来了...

7.jpg


phone不能提交过,但是对提交的内容没有进行验证(可以随便填写)
source和level不能太高或太低(封顶也就15元,太高也没意思)
Uber一个帐号只能用一次,
但是如果我刷几千张,然后淘宝大量抛售,不知道能赚多少?

漏洞证明:

一进朋友圈,发现朋友都在分享了这个东西,好奇心驱使下点了进去试试。

IMG_2745.PNG


你TM在逗我.....居然歧视我的手机...

IMG_2746.PNG


还好微信可以复制URL地址,那就复制出来试试去电脑开...

IMG_2747.PNG


随便找个订阅号,然后把连接黏贴进去,再到电脑里输入。

IMG_2748.PNG


居然可以打开,试下可否玩..

1.jpg


点击start后居然可以玩....

2.jpg


不是我渣,肯定是他代码有问题,所以分数才这样...
好吧,帮你看看代码是不是有问题...(注意红色框框)

3.jpg


查看(红色框框里的JS)后发现了提交参数和地址...
试下自己构造参数提交吧....

4.jpg


这里是顺眼看到了,明显封顶15元现金卷....

5.jpg


JSON我不熟悉,那就去console那直接让他帮我转换出来。

console.log(JSON.stringify({
score : "9999999",
phone : "15989116612",
email : "138260370@qq.com",
level : "9999"
}));


得到:

{"score":"9999999","phone":"15989116612","email":"138260370@qq.com","level":"9999"}


6.jpg


然后神器postman出场。
提交地址:

http://m.muzhibuluo.com/biz/uber/submitRecord


设置Header:

Content-Type:application/json

*这里一定要这样设置,它后台对header进行了判断,如果不是application/json则抛出异常
然后内容:

raw,json
{"score":"9999999","phone":"15989116612","email":"138260370@qq.com","level":"9999"}


点提交,现金卷出来了...

7.jpg


phone不能提交过,但是对提交的内容没有进行验证(可以随便填写)
source和level不能太高或太低(封顶也就15元,太高也没意思)
Uber一个帐号只能用一次,
但是如果我刷几千张,然后淘宝大量抛售,不知道能赚多少?

修复方案:

别歧视iphone4,如果当时我能玩的话就不会这样了.........

版权声明:转载请注明来源 快到碗裏來@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝