1.对应权限的账户登录进行操作点击是否有效 2.截取有权限url后缀,替换无权限url后缀查看是否能够越权 3.拦截请求查看是否有权限的菜单项参数,如果有,改变参数再转发请求是否能够越权 4.相同浏览器登录不同权限账户,相互点击刷新查看是否越权 5.相同浏览器登录不同权限账户,若有对应前台地址,则登录前台账户,相互刷新查看是否越权