本文講的是安全專家教你如何利用Uber系統漏洞無限制的免費乘坐？，近日，根據外媒報道，美國一名安全研究人員發現Uber上存在一處安全漏洞，允許發現這一漏洞的任何用戶在全球范圍內免費享受Uber乘車服務。據悉，這一漏洞首次發現于2016年8月，但是直到本周才被發現者公諸于眾。

?

去年8月，來自印度班加羅爾的Anand Prakash率先發現了該漏洞，并將其告知Uber公司。Uber公司在獲悉該情況后，立即組織安全專家在美國和印度兩地對該漏洞展開測試。測試結果正如預期：利用該漏洞，Prakash成功在兩地免費使用了Uber乘車服務。由于應急響應及時，Uber公司最終在發現問題的同一天成功修復了該安全漏洞。

演示視頻

除了公布這一漏洞外，Prakash還發布了一個視頻，演示了如何利用Uber漏洞進行免費乘車服務的過程，具體操作方式如下：

Prakash發現該問題與用戶在Uber.com上建立賬戶選擇支付方式有關。一般來說，用戶需要在Uber.com上創建賬戶，隨后進行打車服務。當乘車服務結束的時候，用戶需要選擇支付方式，用戶既可以選擇使用現金進行支付，也可以用信用卡或借記卡來付賬。

但是，研究人員發現，如果用戶設定一個無效的支付方式，就可以免費搭乘Uber。他解釋稱，該漏洞存在于發往dial.uber.com的一個POST請求上。為了利用該漏洞，用戶只需要在接到“payment_method_id”請求時簡單地輸入一個無效的值即可，例如：

{"start_latitude":12.925151699999999,"start_longitude":77.6657536, "product_id":"db6779d6-d8da-479f-8ac7-8068f4dade6f","payment_method_id":"xyz"}

據悉，此次Anand Prakash在發現漏洞后是通過Uber公司發布在HackerOne平臺上的“漏洞賞金”項目告知對方，并因此獲得5000美元獎勵。

其實，HackerOne漏洞懸賞平臺自成立以來，已經接受了很多企業的漏洞懸賞項目，與Uber一樣，這些企業（如Twitter、Souq.com、Yahoo!以及Slack等）不惜重金設置了“漏洞賞金”項目，目的就是鼓勵黑客尋找并報告自家軟件上的安全漏洞，從而加強產品的安全性能。在Uber公司發布的“漏洞懸賞”項目中，根據所發現漏洞安全嚴重程度以及受影響用戶的規模，黑客可以得到Uber公司提供的100美元—10000美元數額不等的獎勵。

Uber公司一位發言人對此表示：

Uber設置的‘漏洞賞金’項目，旨在與全球安全研究人員共同修復安全漏洞，即使這些漏洞沒有直接影響到我們的客戶。我們特別感謝Anand Prakash此次的貢獻，對他提交的漏洞報告，我們樂于對其進行獎勵。

根據最新統計顯示，Prakash在HackerOne“賞金獵人”排行榜中排名第29，但是在Uber的“漏洞懸賞”項目排名中位居第14位。據悉，除Uber外，Prakash還經常向Twitter、雅虎等其他公司提交漏洞報告，其中在Twitter的“漏洞懸賞”項目中排名第三。?

原文發布時間為：2017年3月9日 本文作者：小二郎 本文來自云棲社區合作伙伴嘶吼，了解相關信息可以關注嘶吼網站。 原文鏈接

總結

以上是生活随笔為你收集整理的安全专家教你如何利用Uber系统漏洞无限制的免费乘坐？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。