Jump to...

redirecting...

Log for 網路攻防戰~資安閒聊群組

發現日期：2017/06/08
公開日期：2017/08/08

標題：oBike API個資洩漏

單位：OBike

敘述：
透過臉書或者其他分享管道可以取得 oBike 之邀請碼，
邀請碼之連結：
<a href="https://h5.o.bike/mobile/h5/invite.html?countryCode= 886&countryIndex=169&code=2093818400">https://h5.o.bike/mobile/h5/invite.html?countryCode= 886&countryIndex=169&code=2093818400</a>
可以取得邀請碼：2093818400
網頁中會呼叫 API：
<a href="https://mobile.o.bike/api/v1/member/coupon/invite?inviteCode=1710763891">https://mobile.o.bike/api/v1/member/coupon/invite?inviteCode=1710763891</a>
當中會回傳完整使用者資訊，造成資訊洩露。

引用來源：https://zeroday.hitcon.org/vulnerability/ZD-2017-00483

他們真的要PoC出來才會怕

呂守箴(OpenBlue)

Zeroday 8/8 漏洞公開：

oBike API個資洩漏
https://zeroday.hitcon.org/vulnerability/ZD-2017-00483

元智大學資訊管理學系教育單位網站存有 SQL Injection 漏洞
https://zeroday.hitcon.org/vulnerability/ZD-2017-00484

MOMO購物網存取控制缺陷
https://zeroday.hitcon.org/vulnerability/ZD-2017-00591

艾咪E舖公司管理頁面任意檔案下載（包含個資）
https://zeroday.hitcon.org/vulnerability/ZD-2017-00482

呂守箴(OpenBlue)

我想 oBike 根本不怕

上次出了一個PoC他們就有動作了啊

created by mmis1000 and release under MIT License
GitHub Repo