横向越权

 攻击者尝试访问与他拥有相同权限的用户的资源

    例如一个用户A可以通过自己订单号访问自己的订单详情，同时用户B在知道了A的订单号之后，可以通过相同的接口访问到A的订单详情，这是十分危险的。
经典案例：
    用户在修改密码时会向服务器发送用户名和新密码，如果有恶意用户截获了这个修改密码的接口，就可以通过发送带有用户名和密码的请求修改任意账户的密码，这就是横向越权。
解决方案：
    在用户完成修改密码前的验证后（如短信验证、问题验证等），向用户发送一个带有有效期的token，在用户修改密码时不仅需要提供用户名和新的密码，同时需要向服务器发送这个token，如果token过期或者不存在则拒绝修改密码。

纵向越权

 低级别攻击者尝试访问高级别用户的资源

例如一个普通用户通过对接口的分析，可以直接访问管理员权限的资源。