我在漏洞赏金计划中获得的最轻松的 2500 美元

大家好，今天我将谈论我发现的第一个漏洞。当时，我对信息安全知之甚少，所以没有进行扫描之类的操作，我只是像普通用户一样使用应用程序，但好奇心促使我发现了这个漏洞。

我是如何发现这个漏洞的？

有一天，我的朋友来找我为他朋友预约行程，当司机到达时，我想把司机号码给我的朋友，让他转交给他的朋友以便与司机联系。当时我知道 Uber 会保护司机和客户的号码，但我是一个好奇的人，所以我到处点击，直到发现了一个新功能——它允许你向司机发送短信。

当我点击它时，令人惊讶的事情发生了，司机的真实号码显示在我面前。我把号码给了我的朋友，让他转发给他的朋友。然后我思考了发生的事情，觉得这是不寻常的行为，认为这是一个漏洞！

阅读更多关于号码匿名化功能的内容...

如何复现这个漏洞？

首先，预约一个行程。之后，按下图中箭头指示的位置，以便与司机进行对话。

之后，点击上方的电话图标，会出现两个选项：第一个是与司机通话（如果点击它，会跳转到 Uber 的通用号码，你不会知道司机的真实号码）。

第二个选项是向司机发送短信，当你点击它时，司机的真实号码就会显示出来。

我是如何报告这个漏洞的？

我在 HackerOne 上搜索了 Uber，发现他们有一个漏洞赏金计划。我尝试发送报告，但因为我的账户是新的，没有任何信誉积分，所以无法发送。我联系了 HackerOne 的支持，但也没有结果。

我在 Facebook 上搜索，找到了一个名叫 Khaled Hassan 的人，他是一位资深安全研究员。我决定把漏洞发给他，让他代我提交（当时我根本不认识他，但现在他是我最好的朋友之一）。

漏洞在发送报告一个月后得到修复，我获得了我的第一笔赏金。

经验教训

当我发现这个漏洞时，我在信息安全领域没有任何经验，但我有好奇心，促使我到处点击直到发现这个漏洞。所以，使用应用程序或网站，仔细浏览并理解它的工作原理，然后开始你的黑客之旅，这会给你带来好的结果，你会发现很多漏洞。

注意逻辑漏洞。

当你怀疑自己发现了漏洞但不确定时，咨询你的亲密朋友，不要失去希望。

感谢阅读，希望我的故事对你有用。

时间线

[2020 年 1 月 29 日] - 漏洞报告[2020 年 1 月 31 日] - 分类处理[2020 年 3 月 4 日] - 漏洞修复[2020 年 3 月 6 日] - 获得 2500 美元奖励更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享