【安全測試】可怕的越權想法

大家提到安全測試會肅然起敬，之前看了一篇越權文章深受啟發，於是就產生了下面的一系列想法，純屬個人觀點，但不局限於此，如有更好想法的朋友，可留言自己觀點。

一、登錄許可權越權

1、登錄時長失效，這時當用戶仍在此功能頁面時，進行充值、付款測試，應是無法操作成功的，踢出到登錄頁面，並給出提示資訊

2、A用戶用B用戶的登錄許可權做一系列業務操作

二、業務邏輯越權

1、業務狀態越權

新創建的訂單、已付款的訂單、已發貨的訂單、已收貨的訂單、已完成的訂單、已評價的訂單，進行付款操作測試

2、業務終結越權

已實名認證成功，再次實名認證、再次實名認證其它身份證

3、業務上下層越權

已實名認證，進入提現業務，庫里改狀態為未未實名認證，提現檢測

4、業務資源佔用越權

A身份證被A用戶佔用，B用戶綁A身份證檢測

三、垂直越權未授權功能

1、主管有修改許可權，客服有查看許可權，主管帳號更換為客服帳號，進行修改操作測試

2、主管可看到帳號管理頁面，客服看不到，這時，更換主管帳號為客服帳號，查看帳號管理頁面測試

四、水平越權其它用戶、團隊資源

通過修改URL鏈接上的參數來進行一些非對應帳號資訊的查看和操作。

例1：修改URL上的訂單號為別人的，查看、修改、刪除、評價、操作別人的訂單進行測試

例2：修改URL上的訂單參數為不存在的，查看、修改、刪除、評價、操作別人的訂單進行測試

五、非歸屬關係越權

1、主管有修改自己團隊成員資訊許可權，A團隊主管修改B團隊成員資訊

2、成員可向本團隊主管申請借款，A團隊成員向B團隊主管申請借款

六、終結越權

1、用戶被拉黑，登錄、提現操作

2、用戶被拉黑，主管提升用戶為團隊組長、從團隊中踢出用戶

3、用戶被拉黑，用戶相關數據展示、計算、處理等