27、越权漏洞

​ 由于没有对用户权限进行严格的判断&＃xff0c;导致低权限的账号&＃xff08;如普通账号&＃xff09;可以去完成高权限账号&＃xff08;如超级管理员&＃xff09;范围内的操作

平行越权

​ A用户和B用户属于同一级别用户&＃xff0c;但各自不能操作对方个人信息&＃xff0c;A用户如果越权操作B用户的个人信息的情况&＃xff0c;就属于平行越权操作

垂直越权

​ A用户权限高于B用户&＃xff0c;B用户越权操作A用户的权限&＃xff0c;这一情况就属于垂直越权

越权漏洞属于逻辑漏洞&＃xff0c;是由于权限校验的逻辑不够严谨严格

每个应用系统其用户对应的权限是根据其业务功能划分&＃xff0c;而每个企业的业务又都是不一样的&＃xff0c;因此越权漏洞很难通过扫描工具发现&＃xff0c;往往需要通过手工进行测试