URL 篡改测试

格式：测试通过修改 URL 能否访问不该看到的数据。

测试方法：

如果你的应用有类似这样的 URL：
/api/users/123/orders
/dashboard/user/123

尝试：
- 把 123 改成 124 → 能看到别人的数据吗？
- 把 123 改成 0 或 -1 → 会报错吗？还是崩溃？
- 把 123 改成 "abc" → 会怎样？
- 把 123 改成 99999999999 → 会怎样？

这个测试叫 IDOR（Insecure Direct Object Reference）——不安全的直接对象引用，是最常见的安全漏洞之一。