📦 查看他人订单

👤 当前用户

📋 所有订单

🧪 IDOR 攻击演示

🔬 漏洞代码

// ❌ 有漏洞：不校验订单归属
router.get('/order/:id', (req, res) => {
  const order = orders[req.params.id]
  res.json(order)  // 直接返回，不管是谁的订单
})

// ✅ 安全：校验订单归属
router.get('/order/:id', (req, res) => {
  const order = orders[req.params.id]
  
  if (order.userId !== currentUser.id) {
    return res.status(403).json({ error: '无权访问' })
  }
  
  res.json(order)
})