越权漏洞注意

越权漏洞注意

Scroll Down

场景举例

用户登陆后,获取到服务器返回给自己的token,如果用户想要修改某个板块的信息,会发送一个url请求并携带token,如果url中的板块id被用户修改,那么用户就修改了无权限修改的板块,从而发生越权漏洞。
例如:
image.png

如果没有越权校验,用户只需要修改serviceid,就可以任意删除信息了。