在主站可以直接发文章。

然后我抓了包

https://www.paidai.com/managetopic.php?action=user_del_topic&boardid=47&topicid=202807&posterid=669387

这是直接get操作 删除文章的。

然后另外一个号 发一个文章。

然后直接提交这个链接 文章就删除了

https://www.paidai.com/managetopic.php?action=user_del_topic&boardid=45&topicid=202809&posterid=669387

派代网主站设计缺陷可删除任意文章

这个应该叫csrf 攻击吧。

修复方案

这是 csrf 还是越权?