本文主题：增删改用户数据缺乏身份验证机制导致未经授权访问，任意客户端可发起POST请求

• 问题描述： 在增删改用户数据接口发现了一个缺乏身份验证的漏洞，该接口允许未经身份验证的用户进行增删改用户数据，从而导致未经授权的访问和潜在的安全问题。
  复现步骤：
• 使用任意 HTTP 客户端向接口发送 GET POST 请求，
• URL事件：/editUser?id=1 注：id=1为管理员数据
• 在请求中包含以下数据：
  • Body: Body 类型 : formdata
  • user admin
  • password admin2
  • money 2
  • email 15001904@qq.com
  • phone 13131313131
  • name 11
  • sfz 210105101010101011
  • status on

经测试，直接传参 user password 等用户信息 即可修改用户数据
影响范围：
此漏洞可能影响管理员以及其他用户进行恶意修改账号数据，以及系统可能面临的安全风险。
解决方案：

强烈建议在添加节点接口中实施适当的身份验证机制，例如Oauth，以防止未经授权的访问！