水平越权

师傅笔记：

水平越权（同级别越权）：也叫作访问控制攻击。Web应用程序接收到用户请求，修改某条数据时，

没有判断数据的所属人，或者在判断数据所属人时从用户提交的表单参数中获取了userid。

导致攻击者可以自行修改userid修改不属于自己的数据。所有的更新语句操作，都可能产生这个漏洞。

简而言之，就是通过更换的某个ID之类的身份标识，从而使 A 账号获取（修改等）B 账号数据。

http://jw.gxart.cn:8400/jwglxt/xtgl/login_slogin.html

教师:李四

小明=小明个人信息

小红=小红的个人信息

个人笔记：

账号密码：小红书、github、公众号

进入教务系统

有修改模块

对修改模块进行抓包

修改包的id

发包，成功修改

查看详细信息，有个人信息（身份证-手机号等）