关键信息 1. 漏洞影响 应用: youlai-mall (最新版本) 链接: https://github.com/youlaiTech/youlai-mall 2. 漏洞位置 API: GET 参数: 3. 代码分析 关键代码: 问题描述: 系统直接使用 查询用户数据,未验证该数据是否属于当前登录用户。 4. 漏洞重现 前置条件: 攻击者拥有有效的App登录令牌;目标用户的 已知或可猜测。 目标端点: GET 步骤: - 以用户A登录并获取有效授权 - 使用用户B的 发送请求: - 观察返回200 OK响应,包含用户B的 : 代码引用: 控制器方法直接通过 查询并返回 ,未验证所有者关系(无 检查)。 5. 影响描述 敏感标识泄漏: 暴露用户的 (微信小程序唯一标识)给未授权方。 枚举与画像: 结合其他API(如 返回 及用户状态),可实现账户枚举与用户画像。 扩大攻击面: 若 可预测或枚举,攻击者可构建全系统 映射,便于社会工程与针对性滥用。 访问控制失效: 缺失资源所有权验证,违反最小权限与数据边界原则。 合规风险: 未经授权的个人标识公开,可能引发隐私与法规遵从问题。