XinYuDaHai的博客

纵向越权：分向上（低权限可以操作高权限）和向下越权（高权限可以操作低权限）。如，普通用户登录了，后台没做权限控制，可以通过后台url访问管理员的数据。横向越权（又叫水平越权）：攻击者可以访问相同权限的其他用户资源。如，用户a登录了，但可以通过后台url访问用户b的数据。未登录授权：没有登录或者登录失效了，可以通过后台url或失效token直接访问系统数据。越权测试针对后台接口，分3类：未登录授权、横向越权（又叫水平越权）、纵向越权。1. 什么是纵向越权、横向越权？

SSO（单点登录）的实现 - /***/ - 博客园 百度安全验证