Uber优步客户端接口设计不当可导致撞库攻击

Uber客户端可撞库。

打开Uber客户端，登录时抓到如下链接。然后对手机号进行fuzz

下图是返回的HTTP code，200为登录成功，404为存在用户，403为不存在用户

拿到了账号密码后，登录测试一下

如上

争取让Uber入住乌云！

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-03-25 18:03

厂商回复：

CNVD未直接复现所述漏洞情况，已经由CNVD通过网站公开联系方式向网站管理单位通报。

最新状态：

暂无

1. 2016-03-23 14:22 | Aasron ( 普通白帽子 | Rank:905 漏洞数:163 | raw_input("你知道我要输入什么？"))

   2

   坐等忽略

   1# 回复此人

2. 2016-03-23 14:24 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

   1

   早卸载优步了，授权的支付宝都不方便取消。免密码自动支付，心里不踏实，慎的慌！借用洞主一句话：滴滴一下，马上出发。打车还是用滴滴吧

   2# 回复此人

3. 2016-03-23 14:37 | 十月 ( 路人 | Rank:12 漏洞数:1 | 小人物)

   2

   奖金3000美金

   3# 回复此人

4. 2016-03-23 14:39 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

   1

   滴滴一下，马上出发

   4# 回复此人

5. 2016-03-23 14:39 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   2

   妈蛋，uber无缘无故封我帐号半年多了，还天天给我发广告！

   5# 回复此人

6. 2016-03-23 14:46 | socket ( 实习白帽子 | Rank:55 漏洞数:21 | )

   1

   @px1624 我就没用起过。。

   6# 回复此人

7. 2016-03-23 14:50 | 0h1in9e ( 实习白帽子 | Rank:68 漏洞数:23 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

   2

   Uber 的记忆就是封账号

   7# 回复此人

8. 2016-03-23 14:50 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

   1

   @px1624 我准备用.有60的优惠券.计划使用中

   8# 回复此人

9. 2016-03-23 15:01 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

   2

   滴，学生卡

   9# 回复此人

10. 2016-03-23 15:07 | 中国公民 ( 路人 | Rank:25 漏洞数:12 | 脱裤不提交，提交不脱裤)

    1

    这都是钱啊~

    10# 回复此人

11. 2016-03-23 16:02 | 龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的，只有不想做的)

    1

    百度搜索优步的新闻，被盗刷解绑好多 这2天

    11# 回复此人

12. 2016-03-23 16:06 | 土夫子 ( 普通白帽子 | Rank:527 漏洞数:88 | 看似山穷水尽，终将柳暗花明)

    1

    @龚稳 不是我干的

    12# 回复此人

13. 2016-03-23 16:15 | 龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的，只有不想做的)

    1

    @土夫子 大神啊 解释就是有利的掩饰 你也是提交的真是时候

    13# 回复此人

14. 2016-03-23 16:16 | Stanla ( 路人 | Rank:14 漏洞数:4 | 此生无悔入华夏,来世还生种花家)

    1

    这漏洞前几天在一个浏览器推送的头条上就见过。。。

    14# 回复此人

15. 2016-03-29 08:56 | f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:33 | 开发真是日了狗了)

    1

    个别厂商的撞裤也算通用了？？

    15# 回复此人

16. 2016-03-29 09:01 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

    1

    个别厂商的撞裤也算通用了？？

    16# 回复此人