安全专家教你如何利用Uber系统漏洞无限制的免费乘坐?
去年8月,来自印度班加罗尔的Anand Prakash率先发现了该漏洞,并将其告知Uber公司。Uber公司在获悉该情况后,立即组织安全专家在美国和印度两地对该漏洞展开测试。测试结果正如预期:利用该漏洞,Prakash成功在两地免费使用了Uber乘车服务。由于应急响应及时,Uber公司最终在发现问题的同一天成功修复了该安全漏洞。
演示视频
除了公布这一漏洞外,Prakash还发布了一个视频,演示了如何利用Uber漏洞进行免费乘车服务的过程,具体操作方式如下:
Prakash发现该问题与用户在Uber.com上建立账户选择支付方式有关。一般来说,用户需要在Uber.com上创建账户,随后进行打车服务。当乘车服务结束的时候,用户需要选择支付方式,用户既可以选择使用现金进行支付,也可以用信用卡或借记卡来付账。
但是,研究人员发现,如果用户设定一个无效的支付方式,就可以免费搭乘Uber。他解释称,该漏洞存在于发往dial.uber.com的一个POST请求上。为了利用该漏洞,用户只需要在接到“payment_method_id”请求时简单地输入一个无效的值即可,例如:
{"start_latitude":12.925151699999999,"start_longitude":77.6657536,
"product_id":"db6779d6-d8da-479f-8ac7-8068f4dade6f","payment_method_id":"xyz"}
据悉,此次Anand Prakash在发现漏洞后是通过Uber公司发布在HackerOne平台上的“漏洞赏金”项目告知对方,并因此获得5000美元奖励。
其实,HackerOne漏洞悬赏平台自成立以来,已经接受了很多企业的漏洞悬赏项目,与Uber一样,这些企业(如Twitter、Souq.com、Yahoo!以及Slack等)不惜重金设置了“漏洞赏金”项目,目的就是鼓励黑客寻找并报告自家软件上的安全漏洞,从而加强产品的安全性能。在Uber公司发布的“漏洞悬赏”项目中,根据所发现漏洞安全严重程度以及受影响用户的规模,黑客可以得到Uber公司提供的100美元—10000美元数额不等的奖励。
Uber公司一位发言人对此表示:
Uber设置的‘漏洞赏金’项目,旨在与全球安全研究人员共同修复安全漏洞,即使这些漏洞没有直接影响到我们的客户。我们特别感谢Anand Prakash此次的贡献,对他提交的漏洞报告,我们乐于对其进行奖励。
根据最新统计显示,Prakash在HackerOne“赏金猎人”排行榜中排名第29,但是在Uber的“漏洞悬赏”项目排名中位居第14位。据悉,除Uber外,Prakash还经常向Twitter、雅虎等其他公司提交漏洞报告,其中在Twitter的“漏洞悬赏”项目中排名第三。
安全专家教你如何利用Uber系统漏洞无限制的免费乘坐?相关推荐
- 新病毒仿熊猫烧香 利用 Vista系统漏洞疯狂传播
3月31日,瑞星全球反病毒监测网截获一个与"熊猫烧香"非常相似的高危病毒,命名为"ANI蠕虫(Worm.DlOnlineGames.a)".该病毒不光传播和危害 ...
- android系统最近删除照片,安卓手机最近删除的照片怎么恢复?专家教你这样做...
安卓手机最近删除的照片怎么恢复?专家教你这样做 2019年08月29日 13:45作者:黄页编辑:黄页 分享 安卓手机最近删除的照片怎么恢复?专家教你这样做.手机里的照片承载着我们的记忆,在电子化的今 ...
- 《留美秘籍:专家教你上美国名校》一二、选择最适合自己的学校
本节书摘来异步社区<留美秘籍:专家教你上美国名校>一书中的第1章,第1.2节,作者: [美]王镜纯 译者: 王镜纯 责编: 王峰松, 更多章节内容可以访问云栖社区"异步社区&qu ...
- 专家教你清除Rootkit
什么是rootkit ? Rootkit基本是由几个独立程序组成,一个典型rootkit包括: 以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息. 特洛伊木马程序,为攻击者提供后门. 隐藏攻 ...
- Uber系统架构设计
Uber 一开始是单体架构,后来逐渐演化为面向服务的架构.Uber 最早只为旧金山提供服务,他们称之为 UberBlack.后来随着核心领域模型的增长以及引入了越来越多的新特性,组件的耦合非常严重,持 ...
- 《留美秘籍:专家教你上美国名校》一一、大学排名背后的“故事”
本节书摘来异步社区<留美秘籍:专家教你上美国名校>一书中的第1章,第1.1节,作者: [美]王镜纯 译者: 王镜纯 责编: 王峰松, 更多章节内容可以访问云栖社区"异步社区&qu ...
- 看我是如何利用升级系统一键GetShell
i春秋作家:小猪 原文来自:看我是如何利用升级系统一键GetShell 漏洞名称:看我是如何利用升级系统一键GetShell 程序下载地址:https://pan.baidu.com/s/1VdoPL ...
- 如何调整金格电子章服务器印章_如何利用OA系统进行电子公章、红头文件及打印的管理...
原标题:如何利用OA系统进行电子公章.红头文件及打印的管理 1)提供经认证电子公章系统 国家对于电子印章的认证主要牵涉到国家公安部.国家保密局的认证.其中牵涉到国家的法律法规<电子签名法> ...
- 攻击 | 破解windows7密码(利用PE系统破解XP密码)
攻击 | 破解windows7密码(利用PE系统破解XP密码) 引子-破解win7密码 背景-虚拟环境 原理 实现过程 引子-破解win7密码 在学校安排的网络空间安全实训过程中,了解到破解windo ...
最新文章
- python代码块-python小数据池,代码块的最详细、深入剖析
- Android Gson使用详解
- python以某种编码进行打印_如何在一场面试中展现你对Python的coding能力?
- STM32开发 -- md5sum命令
- uImage和zImage的区别
- 零基础不建议学前端_web前端培训心得:零基础怎样学好web前端
- go channel 缓冲区最大限制_Go语言11周年,泛型问题有望明年得到解决
- WindowsAPI中W和A的区别
- C中的位域与大小端问题
- 【上汽零束SOA】云管端一体化SOA软件平台系列介绍之一:产品篇
- webpack4.0关闭开发环境的代码压缩UglifyJsPlugin
- ABOUTCG发布特效之王 Houdini基础教程
- 文本文件单词的检索与计数c语言,文本文件单词的检索与计数
- 通过Htpp访问svn内容
- 解决IE禁止第三方Cookie
- C语言:生成随机数(并非固定的随机数)——rand()、srand()
- Docker images导出和导入
- DBFace: 源码阅读(一)
- 2014年广东省六月展会集,看到就是赚到!!
- 嵌入式项目开发中的问题及解决方法
热门文章
- 路由表,路由,路由规则_路由和路由表简介
- Anaconda下安装OpenCV和Tensorflow(最简洁高效的方法)
- Java——集合的遍历之迭代遍历
- redis 备份导出rdb_Redis数据迁移利器之redisshake
- 处理字符串中的单个字符CharAt()
- java canvas画圆圈_java – 在视图上绘制一个圆圈(android)
- 用前序中序创建二叉树(用中序后序创建二叉树)
- 14.vue路由脚手架
- Android Studio调试时遇见Install Repository and sync project的问题
- 调用百度 Echarts 显示重庆市地图