http://mdsec.net/auth/477/
http://mdsec.net/auth/472/
http://mdsec.net/auth/466/
一旦枚举出所有可访问的功能,就有必要测试应用程序是否正确划分每名用户访问资源的权 限。如果应用程序允许用户访问一组内容广泛的相同类型的资源(如文档、订单、电子邮件和个人资料),则用户就有机会未授权访问其他资源。