API渗透测试第四部分：失效的对象级别授权-静默身份交换

API是连接移动应用的粘合剂。它们在后台传输用户名、手机号和账户ID等标识符，静默地将每个操作与相应用户关联。但如果后端从不检查这些标识符是否真正属于您，会发生什么？

这就是我们进入失效对象级别授权领域的时候，该漏洞也被称为不安全的直接对象引用。

问题：服务端未验证骑手标识符

在测试/taxation端点时，我们修改了请求体中的uName和mobileNo值。只要我们生成有效的X-Hash（通过客户端的预请求脚本），API就会返回200 OK。

👉 翻译：服务器仅检查哈希值是否有效，从未验证uName和mobileNo是否与认证骑手的实际账户匹配。

这是教科书级的BOLA案例，是OWASP API安全十大风险中最危险的漏洞之一。

如果客户端哈希生成逻辑（HMAC-SHA256 + 静态密钥）被泄露——比如从Android应用被逆向工程…