越权实战

接待人要填对姓名和手机号码才可以注册 需要通过信息收集对应的姓名和手机号码，利用test和test1两个账户进行申请

点击 正在预约 抓包

删除openid可以看到所有正在预约的信息，包含visitid

点击预约成功进行抓包

同理删除openid可以看到所有的预约成功信息

预约失败同理，三种状态都为同一个接口 只是status参数不同导致响应结果不同

点击撤销申请，分别对test和test1进行抓包

在test的请求包将visitid改为test1的visitid，发包，删除订单成功

那么通过遍历visitid可以水平越权删除其它访客的申请预约订单