越权测试是什么？

一、越权测试是什么？

越权漏洞是web应用程序中常见的一种安全漏洞。它的威胁在于一个账户可控制全站用户数据。越权漏洞产生的原因主要是因为开发人员在对数据进行增删改查时对客户端的请求数据过分相信而遗漏了权限的判定。

二、越权漏洞的分类

越权分为2种：水平越权和垂直越权

水平越权：由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞，例如：2个不同的公司A和B，通过修改请求，公司A可以任意修改B公司的信息；

垂直越权：由于后台应用没有做权限控制，或仅仅在菜单、按钮上做了权限控制，导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的，例如：通一个公司不同权限的管理员A和B，通过修改请求，管理员A可以修改不在他管辖范围内的信息；

三、越权的测试方式

1、用户登录后进入页面，变更页面链接中的参数为无权限查看的相关参数值，查看是否能成功查看新页面；

2、有权限用户在前端页面抓取接口和相关参数，本地通过postman等工具传入普通用户的cookie个接口参数，调用后看是否可成功调用该接口；