越权漏洞

越权漏洞概述

由于没有对用户权限进行严格的判断。
导致低权限的用户（如普通用户）可以完成高权限用户（如超级管理员）范围内的操作。

• 平等越权: A用户和B用户属于同一级别用户，但各自不能操作对方个人信息，A用户如果越权操作B用户的个人信息的情况称为平行越权操作
• 垂直越权：A用户权限高于B用户，B用户越权操作A用户权限的情况称为垂直越权

越权属于逻辑漏洞，是由于权限校验的逻辑不够严格导致的。
每个应用系统 其用户对应的权限是根据其业务功能划分的，而每个企业的业务又是不一样的。
因此越权漏洞很难通过扫描工具发现出来，往往需要通过手动进行测试。

常见越权漏洞演示:平行越权

比如网站上用户A可以获取用户B的个人信息

后台代码

常见越权漏洞演示:垂直越权

普通管理员可以重放一个超级管理员的操作，可以借助burpsuite完成
就是说普通管理员必须知道超级管理员的操作

后台代码

越权漏洞常见防范措施

加强对用户操作的权限控制