1、什么是越權
a的權限小于b的權限，但是使用a用戶的權限能夠操作b用戶的數(shù)據(jù)，叫做越權

2、越權漏洞分類
水平越權和垂直越權

3、寫出你是如何挖越權漏洞的
越權漏洞容易出現(xiàn)在權限頁面（需要登錄的頁面）增、刪、改、查的的地方，首先需要兩個賬號。
1.熟悉各個功能,列出其中僅僅允許本賬號操作的功能
2.找各個功能對應的請求,確定哪個(些)參數(shù)是決定這些功能正常進行的,稱為關鍵參數(shù)
3.登錄賬號A操作某功能X,記錄對應具體的關鍵參數(shù)值I
4.切換為賬號B,操作功能X,抓包把關鍵參數(shù)改為I,放包
5.根據(jù)結果是否成功查詢到A的數(shù)據(jù)或操作的A的功能,判斷是否存在越權

防范：越權操作漏洞的發(fā)生往往由于系統(tǒng)對當前用戶是否有操作目標接口資源未做判斷所致.修復該漏洞，應從用戶對要操作的目標是否應有操作權限，入手，確保用戶只能操作自己的資源。

4、寫出常見邏輯漏洞繞過方法
例如：競爭條件或者設計不當引起的薅羊毛，交易/訂單信息泄露，水平越權對別人的賬戶查看或惡意操作，交易或業(yè)務步驟繞過