一、权限漏洞

访问控制是指用户对系统所有访问的权限控制，通常包含水平权限，和垂直权限。

水平越权：同一角色级别的用户之间所产生的问题，如A用户可以未授权访问B用户的数据；

垂直越权：不同角色级别的用户之间所产生的问题，如普通用户可未授权进行管理操作，未登录用户可以访问需授权应用。

二、常见场景

所有涉及到与用户相关数据的位置，如用户资料，地址，订单。

所有涉及到登录及权限控制的位置，如后台登录，当前用户权限校验。

三、防御

涉及到用户数据的操作，严格判断当前用户的身份

对于所有需要权限控制的位置，严格校验用户权限级别。