[CRITICAL] 大规模 IDOR 漏洞:Delete/Update 操作缺失所有权检查 #5
Reference in New Issue
Block a user
Delete Branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
漏洞描述
多个 Delete/Update 接口直接使用客户端传入的资源 ID,未验证该资源是否属于当前登录用户。任何已认证的用户可以删除或修改其他用户的内容。
影响范围
comment_service.goDeleteComment()comment_service.goUpdateComment()post_service.goDeletePost()group_service.goRejectJoinRequest()group_service.goApproveJoinRequest()group_service.goCancelJoinRequest()schedule_service.goDeleteSchedule()vote_service.goDeleteVote()trade_service.goDeleteTradeItem()sticker_service.goDeleteSticker()user_activity_service.goDeleteUserActivity()修复建议
在每个 Delete/Update 操作前验证资源所有权:
或通过 Casbin RBAC 策略,确保只有资源所有者或管理员可以执行操作。
严重程度
CRITICAL - 直接影响用户数据完整性和系统安全。