郑重声明： 本笔记编写目的只用于安全知识提升，并与更多人共享安全知识，切勿使用笔记中的技术进行违法活动，利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责，共同维护网络文明和谐。

越权访问（Broken Access Control，简称BAC）是一种很常见的逻辑安全漏洞。可以理解为服务器端对客户提出的数据操作请求过分信任，一个用户一般只能够对自己本身的信息进行增删改查，然而由于后台开发人员的疏忽，没有在信息进行增删改查时候进行用户判断，忽略了对该用户操作权限的判定，导致攻击账号拥有了其他账户的增删改查功能。

越权分类：水平越权和垂直越权

zhuifengshaonianhanlu/pikachu: 一个好玩的Web安全-漏洞测试平台 (github.com)

通过隐藏 URL 实现权限管理

实现控制访问有些程序的管理员的管理页面只有管理员才显示，普通用户看不到，利用 URL 实现访问控制，但 URL 泄露或被恶意攻击者猜到后，这会导致越权攻击。

直接引用对象实现权限管理