具体案例现在手上没有，之前众测挖到过通过session爆破，有效的只是一个普通账号，回过来看URI监控找到了任意用户密码重置，越权查看任意用户信息，越权添加管理员等.参考链接 ...