模糊测试 api-越权.md

1、查看控制中心-用户管理-修改

2、调用了如下接口，返回角色描述 /detection/api/user/findRoleListByUserId/24

3、修改 ulr 中 userid 的数值为 1，查看超级管理员的角色 /detection/api/user/findRoleListByUserId/1

4、按照接口命名规则，修改/findRoleListByUserId/ 为/findUserByUserId/，同时修改userid的数值为超管的 userid（1），返回了超管的个人信息（身份证、手机号、邮箱），查看当前登录账号的用户管理列表，并没有超管这个用户，在已知接口中，也未见返回个人信息（身份证、手机号、邮箱） /detection/api/user/findUserByUserId/1