测试中测到一个印象比较印象最罙刻的一个bugbug,问题出现在web端的电商平台展示商品的时候每点击一个商品相应的url=~/productid.html,如果知道productid可以直接在url输入跳转到商品详情,相应的下单的时候会生成一个ordid,订单详情页url=~/ordid.html,于是随意更改了几个ordid试了试发现可以浏览订单编号存在的别人的订单详情,没有做权限过滤故提交这个bug