时尚春熙存在多个安全漏洞

1. 任意手机号登录

• 高危

https://gateway.chunxi1924.com/user-api/v1/buyers/actions/registerByMobile

这个用户注册的接口没有校验短信验证码，将请求参数mobile设置为任意注册用户的号码，就可以获取到对应用户的token。

2. 多处越权

• 高危

API没有对调用者身份进行校验，使用A用户的token可以访问B用户的数据。

应该还有其他接口存在类似问题，仅以以下两个接口为例。

# 订单详情
https://gateway.chunxi1924.com/general-api/v1/buyers/trades/xxxxxxxxxxxxxxxx

# 核销券码
https://gateway.chunxi1924.com/market-api/v1/buyers/couponReceivedBuyers/actions/getBuyerCouponRandomCode/xxxxxxx?receivedChannelCode=BBC_MINI

越权获取订单信息的接口存在越权访问漏洞，可能造成个人信息泄露。

获取核销券码的API存在越权访问漏洞，优惠券的id是自增的，可以遍历一个范围内未使用优惠券的核销码。

3. 信息泄露

• 低危

登录接口返回的数据中包含阿里云OSS的密钥信息。

https://gateway.chunxi1924.com/user-api/v1/buyers/actions/wxMiniLogin
https://gateway.chunxi1924.com/user-api/v1/buyers/actions/registerByMobile
……