文章总结： 本文针对用户替换Cookie查看他人信息是否构成越权进行探讨。作者演示了替换PHPSESSID获取信息的案例，引用补天平台’无影响’的回复，主张因会话ID不可伪造故不属于水平越权。文末提出关于替换Cookie后能否进行增删改操作的疑问，内容属于SRC实战经验分享，分析深度较浅。 综合评分： 40 文章分类： SRC活动,漏洞分析,渗透测试

用户A换B的cookie看B信息算不算越权

原创

游山玩水 游山玩水

山水SRC

2026年3月4日 09:06 河南

概述

用户A换用户B的cookie看B信息不算越权

补天回复：无影响

案例

使用bp将账户Acookie中的PHPSESSID替换为账户B的可以看到账户B的信息(包含账户和手机号)

用户A的信息

替换PHPSESSID为账户B，出现B的信息

总结

我认为因为PHPSESID不可获取或伪造因此不算水平越权

那么如果是换cookie后用户A能操作用户B的增删改查，比如删除帖子之类的是否算（我找到了一个但该厂商暂停收录漏洞了，因此没法提交确定，有师傅能在评论区答一下吗）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《用户A换B的cookie看B信息算不算越权》