小迪 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=32 水平:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。 垂直:使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。 未授权访问: 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作。 案例1-pikachu-水平越权 配置代理,点击查看个人信息。 burp拦截 修改为kobe,怎么知道有此用户呢,前期信息收集,个人空间,比如注册时提示此用户已存在。