之前看了一篇越權文章深受啟發，于是就產生了下面的一系列想法，純屬個人觀點，但不局限于此，如有更好想法的朋友，可留言自己觀點。

?

一、登錄權限越權

1、登錄時長失效，這時當用戶仍在此功能頁面時，進行充值、付款測試，應是無法操作成功的，踢出到登錄頁面，并給出提示信息

2、A用戶用B用戶的登錄權限做一系列業務操作

?

二、業務邏輯越權

? 1、業務狀態越權

?新創建的訂單、已付款的訂單、已發貨的訂單、已收貨的訂單、已完成的訂單、已評價的訂單，進行付款操作測試

? 2、業務終結越權

已實名認證成功，再次實名認證、再次實名認證其它身份證

? 3、業務上下層越權

?已實名認證，進入提現業務，庫里改狀態為未未實名認證，提現檢測

?4、業務資源占用越權

A身份證被A用戶占用，B用戶綁A身份證檢測

?

三、垂直越權未授權功能

1、主管有修改權限，客服有查看權限，主管賬號更換為客服賬號，進行修改操作測試

2、主管可看到賬號管理頁面，客服看不到，這時，更換主管賬號為客服賬號，查看賬號管理頁面測試

?

四、水平越權其它用戶、團隊資源

通過修改URL鏈接上的參數來進行一些非對應賬號信息的查看和操作。

例1：修改URL上的訂單號為別人的，查看、修改、刪除、評價、操作別人的訂單進行測試

例2：修改URL上的訂單參數為不存在的，查看、修改、刪除、評價、操作別人的訂單進行測試

?

五、非歸屬關系越權

1、主管有修改自己團隊成員信息權限，A團隊主管修改B團隊成員信息

2、成員可向本團隊主管申請借款，A團隊成員向B團隊主管申請借款

?

六、終結越權

1、用戶被拉黑，登錄、提現操作

2、用戶被拉黑，主管提升用戶為團隊組長、從團隊中踢出用戶

3、用戶被拉黑，用戶相關數據展示、計算、處理等

?

總結

以上是生活随笔為你收集整理的【安全测试】可怕的越权的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。