越权漏洞挖掘

一. 越权操作分为【垂直越权】【水平越权】

（1）垂直越权操作

1. 在对应业务线找到【存在不同角色访问接口---存在上下级权限/或者多级访问权限等】

2. postman/jmeter/接口工具/脚本等---访问权限接口---用普通的用户的token去访问

3. 若能将信息获取出来----则存在垂直越权问题

（2）水平越权

1. 在对应业务找到同级权限接口

2. postman/jmeter/接口工具/脚本等--访问接口---用同级别的token访问等

3. 若能将别人信息/菜单等获取出来----则存在水平越权