1.麦包包的个人收获地址网址：http://my.mbaobao.com/member/profile/address，新增自己收货地址。

 

2.写好自己的地址，保存
 

3.编辑自己的收获地址
 

4.保存，查看发送的请求，有一个oprateId，修改
 

5.然后查看自己的收获地址中，多了一个人的名字，而且手机号码也显示出来了
 

6.通过遍历，发送请求，可以得到许多用户的名字，电话号码有的会被**打掉
 

7.为了更好的测试此漏洞，又新建了一个账户，账户姓名，王尼玛，电话号码，如果经过修改过，就不会被**打掉，证明上面漏洞遍历id的话还是能获取全部人姓名一部分人的电话的
 

8.修改王尼玛的地址，查看请求的id
 

9.利用第一个帐号，在请求一下王尼玛id
 

10.好了，王尼玛的姓名和电话号码被加入列表中了
 

11.最后发现一个漏洞，就是当第一个用户请求到王尼玛的id姓名之后，第二个用户查看自己填写的王尼玛资料没有了，利用这个遍历id可以删除别人填写的所有地址。
 

 

 

修复方案：

增加权限控制，他人id资料，无权访问修改。