关键漏洞信息 1. 漏洞影响 应用名称: youlai-mall 漏洞类型: 不当的访问控制漏洞 2. 漏洞位置 URL: PUT /mall-ums/app-api/v1/addresses/{addressId} 3. 代码分析 代码示例: 问题点: - 系统直接使用 更新地址数据,但未验证此数据是否属于当前登录用户。 4. 漏洞复现步骤 1. 登录 User A 获得有效授权令牌。 2. 拦截 修改地址请求。 3. 修改路径参数 至 User B 的ID。 4. 改变字段,如收件人名、省、市等。 5. 携带 User A 的令牌发请求。 6. 观察响应为 200 OK,验证 User B 的地址被更新。 5. 影响描述 使经过身份验证的用户可以在未经授权的情况下修改其他用户的信息。 破坏访问控制,造成隐私和数据完整性问题。 下游服务无法正确处理地址更改的默认状态。 地址ID可预测或可枚举增加风险。