【安全测试】可怕的越权想法

大家提到安全测试会肃然起敬，之前看了一篇越权文章深受启发，于是就产生了下面的一系列想法，纯属个人观点，但不局限于此，如有更好想法的朋友，可留言自己观点。

一、登录权限越权

1、登录时长失效，这时当用户仍在此功能页面时，进行充值、付款测试，应是无法操作成功的，踢出到登录页面，并给出提示信息

2、A用户用B用户的登录权限做一系列业务操作

二、业务逻辑越权

1、业务状态越权

新创建的订单、已付款的订单、已发货的订单、已收货的订单、已完成的订单、已评价的订单，进行付款操作测试

2、业务终结越权

已实名认证成功，再次实名认证、再次实名认证其它身份证

3、业务上下层越权

已实名认证，进入提现业务，库里改状态为未未实名认证，提现检测

4、业务资源占用越权

A身份证被A用户占用，B用户绑A身份证检测

三、垂直越权未授权功能

1、主管有修改权限，客服有查看权限，主管账号更换为客服账号，进行修改操作测试

2、主管可看到账号管理页面，客服看不到，这时，更换主管账号为客服账号，查看账号管理页面测试

四、水平越权其它用户、团队资源

通过修改URL链接上的参数来进行一些非对应账号信息的查看和操作。

例1：修改URL上的订单号为别人的，查看、修改、删除、评价、操作别人的订单进行测试

例2：修改URL上的订单参数为不存在的，查看、修改、删除、评价、操作别人的订单进行测试

五、非归属关系越权

1、主管有修改自己团队成员信息权限，A团队主管修改B团队成员信息

2、成员可向本团队主管申请借款，A团队成员向B团队主管申请借款

六、终结越权

1、用户被拉黑，登录、提现操作

2、用户被拉黑，主管提升用户为团队组长、从团队中踢出用户

3、用户被拉黑，用户相关数据展示、计算、处理等