51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 4892|回复: 14
打印 上一主题 下一主题

一个个小小的漏洞 差点失掉了吃饭的活

[复制链接]
  • TA的每日心情

    2015-9-6 09:43
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2015-6-17 17:49:18 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    我不知道作为程序猿的大家是否有过这样的经历,在开发过程中一个粗心,不小心把一个安全加密的点没有涉及,在上线以后,突然爆出应用被攻击、数据泄露等等问题,最后搞不好丢了工作,幸运点的就保留了工作,但是奖金却都被扣没了。今天我给大家讲讲发生在我身上真实的事情。
    我们这一个小组主要是做Android app开发的,之前我们开发了一款弱联网类手游,其中有一个功能是需要用户注册使用的,注册过程中我们就会收集到用户的常用邮箱之类的基本信息。但是在做加密时使用SecureRandom中的setSeed方法设置种子,当时我没有考虑到setSeed方法设置将会造成生成的随机数不随机,这样会使加密数据容易被破解,所以发生后面差点不可挽回的事情。
    我们这款游戏还没上线时,就已经做了一些预热活动,所以在上线以后,下载量、使用率都还是很不错的(具体数据我也记不太清楚)。也许是树大招风,在上线不到一个月,陆续有用户发现登陆不了账号;明明过来第7关,下次登陆又要我从第一关开始等等问题出现。开始我还以为是服务器问题,以为只是服务器无法承受这么大数据量,就不停的加大服务器的内存。过多两周以后,超过40%的用户出现问题,我不得不重视这个问题了。这时大boss也出面了(中间过程很悲壮••••••)
    最后意识到可能是apk文件可能被破解了,只能一项一项去过滤,但是很费时(其实就是想偷懒),就去论坛逛了一圈,发现大家推荐几个检测的平台,有云测、360、安全管家、腾讯、爱内测。所以我就每个都去试,发现爱内测有检测比较详细的报告。所以就在这个报告中找,终于找到了几个比较核心的漏洞(内牛满面啊•••),比如日志信息移除安全,还有前面提到的SecureRandom。所以只能加班加点的把这个漏洞给补上,再做加密。
    唉~~因为这一个小小的疏忽,把我这一个季度的奖金都给扣了,还被大boss狠狠的批了一顿,差点把工作5年的岗位给弄丢了(我容易麽•••)
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏1
    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2015-6-4 10:13
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]测试小兵

    2#
    发表于 2015-6-18 10:54:12 | 只看该作者
    软文。。鉴定完毕
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    3#
    发表于 2015-6-18 13:58:12 | 只看该作者
    软文!鉴定完毕。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-12-9 10:09
  • 签到天数: 63 天

    连续签到: 1 天

    [LV.6]测试旅长

    4#
    发表于 2015-6-19 15:46:56 | 只看该作者
    不要在同一个地方摔倒就好,每一次经历都会让你以后的路走的原来越远,越老越好,加油!我也是程序猿
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2015-6-29 10:39
  • 签到天数: 7 天

    连续签到: 1 天

    [LV.3]测试连长

    6#
    发表于 2015-6-24 11:46:05 | 只看该作者
    会好起来的。。。程序员不容易。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2015-8-31 10:06
  • 签到天数: 5 天

    连续签到: 1 天

    [LV.2]测试排长

    8#
    发表于 2015-7-2 11:02:05 | 只看该作者
    我也觉得是软文
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    9#
    发表于 2015-7-15 23:16:42 | 只看该作者
    广告软文,鉴定完毕
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2023-3-4 10:30
  • 签到天数: 660 天

    连续签到: 1 天

    [LV.9]测试副司令

    10#
    发表于 2015-7-16 15:39:27 | 只看该作者
    这明显是广告
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2015-6-25 17:36
  • 签到天数: 7 天

    连续签到: 1 天

    [LV.3]测试连长

    11#
    发表于 2015-7-24 18:10:24 | 只看该作者
    就只差说游戏名的软文
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-8-19 10:59
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    13#
    发表于 2015-9-2 09:56:02 | 只看该作者
    看上去貌似是广告
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2016-11-15 20:05
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    14#
    发表于 2015-9-7 13:44:49 | 只看该作者
    什么游戏,好玩吗,我来测试下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2020-8-4 11:02
  • 签到天数: 943 天

    连续签到: 1 天

    [LV.10]测试总司令

    15#
    发表于 2015-12-21 13:06:26 | 只看该作者
    工作内容真实,其实这也是一个学习的过程:工作内容不同,遇到问题不同;
    实现方法、方案也不同
    最主要是一开始:没有注意的安全测试的重要性。
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-22 20:38 , Processed in 0.072443 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表