之前看了一篇越权文章深受启发,于是就产生了下面的一系列想法,纯属个人观点,但不局限于此,如有更好想法的朋友,可留言自己观点。
一、登录权限越权
1、登录时长失效,这时当用户仍在此功能页面时,进行充值、付款测试,应是无法操作成功的,踢出到登录页面,并给出提示信息
2、A用户用B用户的登录权限做一系列业务操作
二、业务逻辑越权
1、业务状态越权
新创建的订单、已付款的订单、已发货的订单、已收货的订单、已完成的订单、已评价的订单,进行付款操作测试
2、业务终结越权
已实名认证成功,再次实名认证、再次实名认证其它身份证
3、业务上下层越权
已实名认证,进入提现业务,库里改状态为未未实名认证,提现检测
4、业务资源占用越权
A身份证被A用户占用,B用户绑A身份证检测
三、垂直越权未授权功能
1、主管有修改权限,客服有查看权限,主管账号更换为客服账号,进行修改操作测试
2、主管可看到账号管理页面,客服看不到,这时,更换主管账号为客服账号,查看账号管理页面测试
四、水平越权其它用户、团队资源
通过修改URL链接上的参数来进行一些非对应账号信息的查看和操作。
例1:修改URL上的订单号为别人的,查看、修改、删除、评价、操作别人的订单进行测试
例2:修改URL上的订单参数为不存在的,查看、修改、删除、评价、操作别人的订单进行测试
五、非归属关系越权
1、主管有修改自己团队成员信息权限,A团队主管修改B团队成员信息
2、成员可向本团队主管申请借款,A团队成员向B团队主管申请借款
六、终结越权
1、用户被拉黑,登录、提现操作
2、用户被拉黑,主管提升用户为团队组长、从团队中踢出用户
3、用户被拉黑,用户相关数据展示、计算、处理等
)
)
