越权漏洞

当用户发起请求后，服务器在处理请求的时候，没有对该用户的该操作进行权限的判定，从而导致黑客利用该漏洞，达到查看、修改、增加、删除不属于他权限范围内的数据。

越权漏洞一般分为水平越权和垂直越权：

• 水平越权是指角色权限相同的用户之间能非法地互相操作对方的数据；
• 垂直越权是指不同角色权限地用户之间能非法地互相操作对方的数据；

垂直越权

栗子1：

前后端分离项目我们会通过用户登录获取当前用户的路由权限数据，然后前端根据权限数据进行过滤筛选构造自身需要的路由数据，所以路由本身是否可以访问根本上是由页面控制的(拦截权限接口，伪造高权限页面数据)，