开发者提供的后端接口在被调用时,没有对调用者的身份做相应权限校验,从而让用户可以访问到不被授权的信息资源(也包含查询、修改、删除操作)。越权漏洞一般分为水平越权、垂直越权。水平越权:用户可以访问其他用户的信息资源比如:用户 1 在 A 小程序下单发快递,恶意用户 2 通过快递单号可以用自己的身份在小程序后端服务中查询到用户 1 的详细信息和收货地址信息(物流之外的隐私信息)。垂直越权:低权限的用户可以访问高权限的资源比如:小程序后端服务中有给管理员使用的退款接口,恶意用户 1 通过该接口对订单进行退款操