<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("Uber,优惠码,漏洞,黑客,免费乘车") PageTitle=stripHTML("Uber优惠码漏洞允许黑客免费乘车") ArticleIntro=stripHTML("Mohamed M.Fouad在漏洞研究方面有着异于常人的造诣,而这名安全研究人员近期发现,他可以利用暴力破解等手段破解Uber应用程序中的“优惠码”功能,并从中获取到高额的优惠码。") Articlecontent=stripHTML("你想不想通过Uber打车服务来免费乘车呢?如果你是Uber打车服务的忠实用户,或者你曾经使用过Uber的叫车服务,那么这篇文章绝对会让你兴奋不已。因为有一名来自…") ModuleName = stripHTML("news") InfoID = stripHTML("227579") ChannelShortName=stripHTML("资讯") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("news") %> Uber优惠码漏洞允许黑客免费乘车 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 资讯 >> 最新新闻 >> 正文

[组图]Uber优惠码漏洞允许黑客免费乘车

2016/7/2 作者:Mickeyyy… 来源: 360安全播报
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  

http://www.77169.com/news/UploadFiles_2143/201607/20160702084924733.png

  你想不想通过Uber打车服务来免费乘车呢?如果你是Uber打车服务的忠实用户,或者你曾经使用过Uber的叫车服务,那么这篇文章绝对会让你兴奋不已。因为有一名来自埃及的独立安全研究员在Uber应用程序中发现了一个严重的安全漏洞,这个漏洞将允许潜在的攻击者通过暴力破解等手段获取到Uber的优惠码,通过这些有效的促销码,攻击者就可以实现免费乘车了。

  Mohamed M.Fouad在漏洞研究方面有着异于常人的造诣,而这名安全研究人员近期发现,他可以利用暴力破解等手段破解Uber应用程序中的“优惠码”功能,并从中获取到高额的优惠码。据他所说,他可以获取到价值两万五千美金的优惠码。Fouad在Uber的注册邀请链接中发现了这个“优惠码”漏洞,Uber注册邀请链接允许任何一名用户邀请其他的用户加入Uber服务,邀请成功之后,用户将可以得到相应的优惠码,如果优惠码的面值足够大,那么用户就可以免费乘坐一次甚至多次出租车了。

  

http://www.77169.com/news/UploadFiles_2143/201607/20160702084924637.png

  Fouad发现,在Uber应用程序的优惠码功能中,并没有对用户的尝试输入次数或者输入频率进行限制,这也就意味着,Uber用户可以不停地尝试输入优惠码,其操作次数和频率完全不会受到系统限制。Fouad可以利用这个漏洞来不断地生成优惠码,直到找出一个可用的优惠码为止。除此之外,他还发现他可以自定义生成形如“uber+code_name”的优惠码。

  

http://www.77169.com/news/UploadFiles_2143/201607/20160702084925725.png

  

http://www.77169.com/news/UploadFiles_2143/201607/20160702084926527.png

  与往常一样,Fouad将这个暴力破解漏洞提交给了Uber公司的技术部门,以便他们及时修复这一漏洞。但令人惊讶的是,这个漏洞并没有吸引Uber公司的注意力,而且Uber公司也并不打算修复这个漏洞。Fouad在接受Techworm网站采访时表示,他对Uber公司的这一回应感到十分惊讶,他说到:“原来,我并不是唯一一个向他们报告这一漏洞的安全研究人员,但这也说明我们所有人都认为这的确是一个安全漏洞。”

  现在,虽然Uber公司在其支付页面中设置了输入尝试的限制,但是其优惠码功能中仍然存在安全漏洞,应用程序仍然无法抵御暴力破解攻击

  但无论怎样,在Uber公司完全修复这一漏洞之前,潜在的攻击者都可以享受免费乘车服务。



  • 上一篇资讯:

  • 下一篇资讯: 没有了