• 定义
  • 垂直越权：也被叫做权限提升，指的是低权限用户尝试访问高权限用户才能访问的功能或资源。例如，普通用户尝试访问管理员的管理界面。
  • 水平越权：指的是用户能够访问和操作其他同级别用户的资源。比如，用户 A 尝试访问和修改用户 B 的个人信息。
• 访问级别
  • 垂直越权：属于不同权限级别的跨越，是从低到高权限的非法访问。
  • 水平越权：处于同一权限级别，只是非法访问了同级别其他用户的资源。
• 常见场景
  • 垂直越权：通常出现在权限管理设计有缺陷的系统中，像权限验证逻辑不完善、角色权限配置错误等情况。
  • 水平越权：多发生在通过参数来区分不同用户资源的系统里，若系统对用户输入的参数缺乏严格验证，就容易出现此类漏洞。

危险程度

• 垂直越权：一旦被利用，攻击者就能获取系统的高级权限，进而对系统进行全面控制，可执行敏感操作，像删除数据、添加管理员账号等，对系统的安全和稳定会造成严重威胁。
• 水平越权：虽然攻击者无法直接获取高级权限，但能获取大量其他用户的敏感信息，如个人隐私、财务数据等，这会侵犯用户的权益，还可能导致数据泄露事件，给企业带来声誉损失和法律风险。

一般而言，垂直越权可能对系统整体造成毁灭性打击；而水平越权若涉及大量用户敏感信息泄露，其影响范围和潜在损失也不容小觑。所以不能简单说哪个危险更大，要根据系统的重要性、数据的敏感性以及被攻击后可能产生的后果来综合判断。